hijackthis log

det fleste er væk nu .. det er min venindes pc

vil gerne have en prof kigger på den :)

ser på den

Det meste er væk? håber det var en joke!!

Før vi går i gang skal du gøre følgende!

**********************************************************************************

1. Hent Look2Me-Destroyer herfra:

http://www.atribune.org/ccount/click.php?id=7

...og gem værktøjet på dit Skrivebord.

2. Luk alle åbne programvinduer - inklusiv Internet Explorer.

3. Dobbeltklik på Look2Me-Destroyer, sæt et flueben i "Run this program as a task". Du får en meddelelse om, at Look2Me-Destroyer vil lukke og åbne efter 10 sekunder - klik på OK.

Når Look2Me-Destroyer genåbner - klik på "Scan for L2M" - dine ikoner forsvinder - klik "Remove L2M". Klik OK når du får meddelelsen "Done scanning".

Nu får du meddelelsen "Done removing infected files!. Programmet vil lukke din computer - klik OK. Nu skal du finde filen C:\Look2Me-Destroyer.txt og kopiere indholdet herind, sammen med en frisk HijackThis log når du bliver bedt om det.

4. Hvis din firewall vil blokere Look2Me-Destroyers adgang til nettet, så skal du lade programmet få adgang.

Hvis du får en runtime error 339, så skal du hente MSWINSCK.OCX herfra:

http://www.ascentive.com/support/new/images/lib/MSWINSCK.OCX

...og placere den i mappen C:\Windows\System32 Directory.

*************************************************************************************

Nu går vi rigtig i gang!!! Udfør følgende punkter!

1. Deaktivering af systemgendannelse.

Højreklik på "Denne Computer" - Vælg "Egenskaber".
Klik på fanen "Systemgendannelse".
Sæt tjekmærke ud for "Deaktiver Systemgendannelse på alle drev" - Klik på"OK".

2. Download følgende værktøjer/programmer.

Kaspersky - mwav
http://www.spywareinfo.dk/download/mwav.exe

A-squared Free
www.emsisoft.com/en/software/free

Ewido - når du har hentet ewido skal du lige køre "Opdater" så programmet opdatere sig selv. Det står med stort når du har startet Ewido i venstre side:)
http://shop.element5.com/product.html?productid=531168

Du kan evt. oprette en folder til opbevaring af disse programmer på dit skrivebord så du har dem samlet. Vent med, at køre programmerne til jeg siger til.

3. Genstart i fejlsikret tilstand.

Det gør du ved, at trykker F8 under opstart. Typisk lige efter, at dine ram er blevet talt op. Det skader ikke hvis du trykker F8 gentagende gange. Der vil

fremkomme en menu og du vælger "fejlsikret tilstand uden netværk".

4. Scanning med Ewido.

Start Ewido. I venstre side i menu'en vælger du scanner og her vælger du "Komplet systemscanning". Gem loggen fra Ewido når den er færdig med, at scanne.

Lav også en fuld scan med A-Square Free!

5. Slå visning af skjulte filer og mapper til

Højreklik på windows start knappen (helt nede i venstre hjørne af din skærm) og vælge "Stifinder", klik på Funktioner->Mappeindstillinger->Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

6. Fjernelse af mapper

Disse mapper skal du enten slette manuelt eller afinstallere via. tilføj og fjern programmer eller hvis du kan finde en uninstaller i program mapperne så

forsøg dig med det først. De skal væk!

C:\WINDOWS\c2V2ZGE\
C:\Programmer\Network Monitor\
C:\Programmer\WinFixerFree\
C:\PROGRA~1\TOOLBA~1\
C:\Programmer\Toolbar888\

C:\RECYCLER\ - indholdet er din papirkurv!

7. Start hijackthis og vælge "Do a system scan only"
8. Sæt flueben udfor følgende linjer i hijackthis. Dobbeltjek alt kommer med!

O2 - BHO: DosSpecFolder Object - {1AE6D7D5-0C28-4DB6-9FD1-33B870A4C5F2} - C:\WINDOWS\System32\awtsq.dll
O2 - BHO: (no name) - {20D57A66-F7DF-467d-907B-9B7F4A118AB7} - C:\WINDOWS\System32\pmkhe.dll
O2 - BHO: (no name) - {6001CDF7-6F45-471b-A203-0225615E35A7} - C:\WINDOWS\DH.dll
O2 - BHO: XBTB04715 - {A8B0BDED-64A5-495b-97DA-42C0301E229B} - C:\PROGRA~1\TOOLBA~1\TOOLBA~1.DLL
O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
O3 - Toolbar: Toolbar888 - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - C:\Programmer\Toolbar888\ToolBar888.dll
O4 - HKLM\..\Run: [NvCplScan] msc32.exe
O4 - HKLM\..\Run: [keyboard] C:\windows\keyboard6.exe
O4 - HKLM\..\Run: [newname] C:\windows\newname6.exe
O4 - HKLM\..\Run: [xms32] rundll32.exe C:\WINDOWS\System32\xms32.dll,start
O4 - HKLM\..\Run: [mousepad] C:\windows\mousepad6.exe
O4 - HKLM\..\Run: [NewFrn] C:\WINDOWS\newfrn.exe
O4 - HKLM\..\RunServices: [NvCplScan] msc32.exe
O4 - HKLM\..\RunServices: [Microsoft update service] systemm.exe
O4 - HKLM\..\RunServices: [Microsoft Java Virtual Machine] MsConfiG.exe
O4 - HKLM\..\RunServices: [Svcphpwin] sslphp32.exe
O4 - HKCU\..\Run: [Task manager] iexplorer.exe
O4 - HKCU\..\Run: [services32] C:\Programmer\Fælles filer\Windows\mc-110-12-0000229.exe
O4 - HKCU\..\Run: [Win_Fixer_Free] "C:\Programmer\WinFixerFree\uwinfx6.exe" /min
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/CDTInc/ie/bridge-c18.cab
O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F551} (Flatcast Viewer 4.15) - http://www.flatcast.com/de/download/NpFv415.dll
O20 - Winlogon Notify: awtsq - C:\WINDOWS\System32\awtsq.dll
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\c2V2ZGE\command.exe
O23 - Service: Microsoft Global Services (itnalispy) - Unknown owner - C:\RECYCLER\service.exe
O23 - Service: Microsoft Global Backup Services (itnalispy666) - Unknown owner - C:\RECYCLER\service.exe
O23 - Service: Network Monitor - Unknown owner - C:\Programmer\Network Monitor\netmon.exe


9. Luk øvrige programmer og vinduer så kun hijackthis er kørende og tryk så på "Fix checked".

10. Fjernelse af filer

Filerne her skal du slette.

C:\WINDOWS\System32\msbe.dll
C:\windows\mousepad6.exe
C:\WINDOWS\System32\xms32.dll
C:\WINDOWS\System32\pmkhe.dll
C:\WINDOWS\DH.dll
C:\WINDOWS\System32\nvms.dll
C:\WINDOWS\System32\awtsq.dll
C:\Programmer\Fælles filer\Windows\services32.exe
C:\WINDOWS\newfrn.exe

Find selv disse filer og slet dem. Brug windows søgefunktion

msc32.exe
systemm.exe
sslphp32.exe

Har du problemer med en fil der ikke vil slettes så må du starte normalt op og hente dette værktøj
http://www.spywareinfo.dk/download/KillBox.zip
Det burde kunne slette filen(erne). Om ikke andet hvis dette bliver nødvendigt så vent med det til sidst.

11. Oprydning

Gå i Start -> Programmer -> Tilbehør -> Systemværktøjer -> Diskoprydning og slet temp-filer, temporary internet files og papirkurv.

12. Sidste scanning foretages med Kaspersky - mwav

Klik på mwav.exe som du hentede, programmet pakker sig selv ud og starter.
Sæt flueben i følgende:
Memory, Startup folders, drive, Registry, System folders og Services.
Sæt prik i følgende:
All local drives og Scan all files

13. Deaktivering af services

Klik på Start->Kør skriv services.msc og klik OK.

Deaktiver disse services. Højreklik på dem og vælge deaktiver!

Network Monitor
Microsoft Global Backup Services (itnalispy666)
Command Service (cmdService
Microsoft Global Services (itnalispy)

14. Genstart normalt og kopir en ny hijackthis log og loggen fra Look2Me-Destroyer herind så jeg kan se om vi fik fjernet det hele eller om vi skal foretage os yderligere

15. Slå systemgendannelse til igen!

Windows er ikke opdateret så det er en stor grund til, at der er så meget snavs inde.
Et antivirus program installeret ville sådan set heller ikke skade.

Men med hensyn til proceduren så er det ikke meget der skal udføres, men det der tager tid er de 3 scanninger.

desværre kom vi ikke videre , det er en venindes pc

men kalp tak for hjælpen

Det med at din XP Windows ikke er opdateret mht WindowsUpdate ->
"Ubeskyttede pc’er holder i 20 minutter]":
http://forum.mib-eu.dk/forum_posts.asp?TID=44

... og det ka' du hermed også bekræfte...

... og så uden nogen som helst beskyttelsesværktøj/antivirus program - hmmm...
Link til sikring af din computer -> http://www.spywarefri.dk/manualer/sikkerhedspakke.htm

Men WindowsUpdate som det vigtigste.
http://update.microsoft.com/windowsupdate/v6/default.aspx?ln=da

(Tja - hvis du ikke får dette gennemført ses vi nok snart igen...i virus kategorien?)

det gør vi nok ikke, hendes pc gik ned på grund af grafikkortet er brændt af, og vedkommende har købt en ny så derfor kan vi ikke komme videre :)

men det gør vi alligevel nok på et eller andet tidspunkt