Hjælp til HijacckThis Log

kigger på den;)

Hvis ikke du har dem så:
Hent og opdater Ad-Aware: http://www.spywarefri.dk/vaerktoj.htm#adaware
konfigurerer til optimal scanning: http://www.spywarefri.dk/adaware.manual.htm


Hent og opdater CWShredder: http://danborg.org/spy/CWS/cwshredder.exe



Hent About:Buster. Tryk på Download Link
http://www.bleepingcomputer.com/files/aboutbuster.php
Pak About:Buster ud i sin egen mappe, klik på Update, er der en update så hent den, ellers klik på Exit.
du må ikke klikke på Start.


Hent og installer denne engangsskanner fra Kaspersky: http://www.spywareinfo.dk/download/mwav.exe

Du bør bruge også et program til at få renset ud i Temp mm.
Cleanup: http://cleanup.stevengould.org/


Du bør bruge programmet, og du skal installere og sætte det op med det samme.

Jeg vil foreslå at du printer vejledningen ud. Træk netstikket ud nu


Klik på Start-kør. Skriv: Services.msc Tast OK.
Find følgende services, højreklik på dem og vælg egenskaber. Under starttype vælger du deaktiveret. Klik også på Stop:
"Remote Procedure Call (RPC) Helper ( 11Fßä #·ºÄÖ`I"


Genstart fejlsikret tilstand. Du trykker f8 nogle gange når Windows starter op.

Derefter skal du åbne Hijackthis.
Du skal vinge disse filer af, jeg har beskrevet nedenunder.
Når du har gjort det så lukker du alle andre vinduer ned.

Fix disse med Hijackthis:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\iqggc.dll/sp.html#10001
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\iqggc.dll/sp.html#10001
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\iqggc.dll/sp.html#10001
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\iqggc.dll/sp.html#10001
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\iqggc.dll/sp.html#10001
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\iqggc.dll/sp.html#10001
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\iqggc.dll/sp.html#10001
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {5407E284-B89F-F744-56B1-7F0CF7D03153} - C:\WINDOWS\addng32.dll
O4 - HKLM\..\Run: [winzw.exe] C:\WINDOWS\system32\winzw.exe
O4 - HKLM\..\Run: [javasv32.exe] C:\WINDOWS\system32\javasv32.exe
O4 - HKLM\..\Run: [ieac32.exe] C:\WINDOWS\system32\ieac32.exe
O4 - HKLM\..\Run: [addng32.exe] C:\WINDOWS\addng32.exe
O4 - HKLM\..\RunOnce: [sdkzc.exe] C:\WINDOWS\sdkzc.exe
O4 - HKLM\..\RunOnce: [ipgj32.exe] C:\WINDOWS\system32\ipgj32.exe
O4 - HKLM\..\RunOnce: [msxh.exe] C:\WINDOWS\system32\msxh.exe
O4 - HKLM\..\RunOnce: [ienq.exe] C:\WINDOWS\ienq.exe
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä #·ºÄÖ`I) - Unknown owner - C:\WINDOWS\sdkzc.exe"  /s (file missing)
------------------------------------------------------------------------------------
O23 - Service: SmartFinder Uninstall (SmartFinder_Uninstall) - Unknown owner - C:\Documents and Settings\Claus\Skrivebord\SFUninstaller.exe"  service (file missing)
<<<<Hvis du ikke bruger programmet mere, skal denne også fixes
-----------------------------------------------

Åbn Stifinder, klik på Funktioner -> Mappeindstillinger -> Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

Find  og slet disse filer:
C:\WINDOWS\addng32.dll
C:\WINDOWS\system32\winzw.exe
C:\WINDOWS\system32\javasv32.exe
C:\WINDOWS\system32\ieac32.exe
C:\WINDOWS\addng32.exe
C:\WINDOWS\sdkzc.exe
C:\WINDOWS\system32\ipgj32.exe
C:\WINDOWS\system32\msxh.exe
C:\WINDOWS\ienq.exe

Kør så About:Buster, klik Start->OK når scanningen er færdig, klik Exit.
Gentag proceduren med About:buster, denne gang gemmer du rapporten et sted hvor du kan finde den, den skal kopieres herind.




Nu kører du en scanning med Adware og CWShredder og fjerner, hvad de finder.

Angående CWShredder:
Kør programmet, luk alle vinduer undtaget CWShredder, klik på Fix, den scanner nu, når den er færdigt klik på Next, klik på Exit.


Prøv så en tur med Regedit.
Klik på Start - Kør skriv: regedit og klik OK.
Du får et vindue lidt ligesom stifinder.
Klik dig i venstre side frem til:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
Tjek om der ligger en nøgle/tekst der hedder "HOMEOldSP", gør der det slet den.
Ligger der herinde nogle filer under search page, search bar som ender på noget ....\sp. Skal du også slette dem.

Gå i rediger - ned i søg - i linjen skriver du: HOMEOldSP
Klik på find næste. Delete filen hvis den findes. Tast f3 for at finde næste (der er sikkert kun en)
Samme fremgangsmåde med søgeordet About:blank
Luk på X når du får at vide der ikke er flere filer at finde.


Så skal du fjerne Temp filer m.m.  Kør Cleanup

Nu kører du skanneren som vi hentede før
Sæt flueben i følgende:
Memory, Startup folders, drive, Registry, System folders og Services.
Sæt prik i følgende:
All local drives og Scan all files

Klik på scan.
Tip: du skal ikke klikke på Add to Startup folders så scannes din maskine hver gang du starter Windows op.
Denne scanning kan godt tage et par timer alt efter hvor meget du har liggende på din computer.


Genstart


Og send ny hijacktis log til kontrol sammen med AboutBuster loggen.

Hej igen, her er HijackThis loggen:

Logfile of HijackThis v1.99.1
Scan saved at 18:31:39, on 25-08-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\Programmer\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Fælles filer\Symantec Shared\Security Center\SymWSC.exe
c:\programmer\pinnacle\shared files\programs\mediaserver\pmshost.exe
C:\WINDOWS\appnb32.exe
C:\Programmer\Pinnacle\Shared Files\Programs\MediaCenterService\PMC.Service.Main.exe
C:\Programmer\MSN Messenger\MsnMsgr.Exe
C:\Programmer\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\Skype\Phone\Skype.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Claus\Skrivebord\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\hylmw.dll/sp.html#10001
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\hylmw.dll/sp.html#10001
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\hylmw.dll/sp.html#10001
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\hylmw.dll/sp.html#10001
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\hylmw.dll/sp.html#10001
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\hylmw.dll/sp.html#10001
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\hylmw.dll/sp.html#10001
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O2 - BHO: Class - {BEB8A8DE-743E-9BF5-DBA7-230CFF21DEDA} - C:\WINDOWS\system32\javaur.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [PMCS] C:\Programmer\Pinnacle\Shared Files\Programs\MediaCenterService\PMC.Service.Main.exe -host -clearDebug
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [msdd.exe] C:\WINDOWS\msdd.exe
O4 - HKLM\..\Run: [ipnx.exe] C:\WINDOWS\system32\ipnx.exe
O4 - HKLM\..\Run: [appnb32.exe] C:\WINDOWS\appnb32.exe
O4 - HKLM\..\RunOnce: [winex.exe] C:\WINDOWS\system32\winex.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programmer\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab
O23 - Service: Network Security Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\winex.exe"  /s (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccPwdSvc.exe
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Programmer\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programmer\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: AOpen NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\programmer\pinnacle\shared files\programs\mediaserver\pmshost.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FLLESF~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\Security Center\SymWSC.exe

_________
og

AboutBuster 5.0 reference file 31
Scan started on [25-08-2005] at [18:10:24]
------------------------------------------------
Removed Stream! C:\WINDOWS\{2DCC816B-2457-46BB-979E-78936286D408}.dat:eexazf
Removed Stream! C:\WINDOWS\{2DCC816B-2457-46BB-979E-78936286D408}.dat:ewaqza
Removed Stream! C:\WINDOWS\{2DCC816B-2457-46BB-979E-78936286D408}.dat:gnxazm
Removed Stream! C:\WINDOWS\{2DCC816B-2457-46BB-979E-78936286D408}.dat:hszpwm
Removed Stream! C:\WINDOWS\{2DCC816B-2457-46BB-979E-78936286D408}.dat:jehca
------------------------------------------------
Removed File! : C:\Windows\hylmw.dll
Removed File! : C:\Windows\System32\vkosc.dat
------------------------------------------------
Scan was COMPLETED SUCCESSFULLY at 18:11:01

Det er ikke altid tingene går så nemt;) Det er en af de besværlige infektioner du har fået.


Download disse:
https://beta.activeupdate.trendmicro.com/fixtool/fixagentv1.0007.zip



Hent SpSeHjfix her:http://www.derbilk.de/404.html
Til XP

http://www.derbilk.de/404.html

(pak SpSeHjfix ud til sin egen mappe på Skrivebordet).



Regsupreme:
http://www.macecraft.com/reseller/42/




Download cureit til skrivebordet  ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe

Træk netstikket ud

Kør Fixagent fra Trendmicro, derefter SpSeHjfix.exe-filen. Tryk: Start Disinfektion"


Genstart fejlsikret tilstand. Du trykker f8 nogle gange når Windows starter op.

Derefter skal du åbne Hijackthis.
Du skal vinge disse filer af, jeg har beskrevet nedenunder.
Når du har gjort det så lukker du alle andre vinduer ned.

Fix disse med Hijackthis:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\hylmw.dll/sp.html#10001
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\hylmw.dll/sp.html#10001
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\hylmw.dll/sp.html#10001
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\hylmw.dll/sp.html#10001
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\hylmw.dll/sp.html#10001
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\hylmw.dll/sp.html#10001
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\hylmw.dll/sp.html#10001
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {BEB8A8DE-743E-9BF5-DBA7-230CFF21DEDA} - C:\WINDOWS\system32\javaur.dll
O4 - HKLM\..\Run: [msdd.exe] C:\WINDOWS\msdd.exe
O4 - HKLM\..\Run: [ipnx.exe] C:\WINDOWS\system32\ipnx.exe
O4 - HKLM\..\Run: [appnb32.exe] C:\WINDOWS\appnb32.exe
O4 - HKLM\..\RunOnce: [winex.exe] C:\WINDOWS\system32\winex.exe
O23 - Service: Network Security Service ( 11Fßä #·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\winex.exe"  /s (file missing)

-----------------------------------------------

Åbn Stifinder, klik på Funktioner -> Mappeindstillinger -> Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

Find  og slet:
C:\WINDOWS\system32\javaur.dll
C:\WINDOWS\msdd.exe
C:\WINDOWS\system32\ipnx.exe
C:\WINDOWS\appnb32.exe
C:\WINDOWS\system32\winex.exe

Kør så About:Buster, klik Start->OK når scanningen er færdig, klik Exit.
Gentag proceduren med About:buster



Nu kører du en scanning med Adware og CWShredder og fjerner, hvad de finder.

Angående CWShredder:
Kør programmet, luk alle vinduer undtaget CWShredder, klik på Fix, den scanner nu, når den er færdigt klik på Next, klik på Exit.


Prøv så en tur med Regedit.
Klik på Start - Kør skriv: regedit og klik OK.
Du får et vindue lidt ligesom stifinder.
Klik dig i venstre side frem til:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
Tjek om der ligger en nøgle/tekst der hedder "HOMEOldSP", gør der det slet den.
Ligger der herinde nogle filer under search page, search bar som ender på noget ....\sp. Skal du også slette dem.

Gå i rediger - ned i søg - i linjen skriver du: HOMEOldSP
Klik på find næste. Delete filen hvis den findes. Tast f3 for at finde næste (der er sikkert kun en)
Samme fremgangsmåde med søgeordet About:blank
Luk på X når du får at vide der ikke er flere filer at finde.

Dobbeltklik på cureit exe filen laver den en kort startup/express scan. Så skal du markere drevene du vil scanne, og klikke på ikonet/manden nede i højre hjørne. Lad den slette hvad den finder




Så skal du fjerne Temp filer m.m.  Kør Cleanup

Nu kører du skanneren som vi hentede før
Sæt flueben i følgende:
Memory, Startup folders, drive, Registry, System folders og Services.
Sæt prik i følgende:
All local drives og Scan all files

Klik på scan.
Tip: du skal ikke klikke på Add to Startup folders så scannes din maskine hver gang du starter Windows op.
Denne scanning kan godt tage et par timer alt efter hvor meget du har liggende på din computer.


Kør  regsupreme, slet hvad den finder


Start hijackthis, tryk på – open misc tools section-knappen, kill an NT service, kopier det her ind i boksen: 11Fßä #·ºÄÖ`I

Genstart

Og send ny hijacktis log til kontrol

hej, magictouch, jeg er virkelige kedaf, ikke at have fulgt op på dette spørgsmål,, Har Brugt de programmer du har vist mig, og bruger dem jævenligt, det er rigtig goe programmer,
Med hensyn til computeren, har Xén fået den tilbage.

give et svar, og du får point,

Lukker, Magictouch, skriv hvis du vil have point, og jeg opretter et spgs, til dig