Hej Søren.

Du skal lige som peterjesper følge vejledningen i denne link fra punkt 1-3: http://www.spywarefri.dk/hjtanv.htm

Værsgo:

Logfile of HijackThis v1.97.7
Scan saved at 18:13:51, on 18-03-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:/WINDOWS/System32/smss.exe
C:/WINDOWS/system32/winlogon.exe
C:/WINDOWS/system32/services.exe
C:/WINDOWS/system32/lsass.exe
C:/WINDOWS/system32/svchost.exe
C:/WINDOWS/System32/svchost.exe
C:/WINDOWS/system32/spoolsv.exe
C:/WINDOWS/System32/nvsvc32.exe
C:/WINDOWS/System32/svchost.exe
C:/WINDOWS/Explorer.EXE
C:/WINDOWS/SOUNDMAN.EXE
C:/WINDOWS/SOINTGR.EXE
C:/Programmer/Winamp3/winampa.exe
C:/Programmer/MSN Messenger/MsnMsgr.Exe
C:/Programmer/Hewlett-Packard/Digital Imaging/bin/hpohmr08.exe
C:/Programmer/Hewlett-Packard/Digital Imaging/bin/hpotdd01.exe
C:/Programmer/Fælles filer/Microsoft Shared/Works Shared/wkcalrem.exe
C:/Programmer/Microsoft Office/Office/OSA.EXE
C:/Programmer/Hewlett-Packard/Digital Imaging/bin/hpoevm08.exe
C:/Programmer/Internet Explorer/iexplore.exe
C:/Programmer/Hewlett-Packard/Digital Imaging/Bin/hpoSTS08.exe
C:/WINDOWS/System32/wuauclt.exe
C:/Documents and Settings/Søren/Dokumenter/Modtagne filer/HijackThis.exe

R1 - HKCU/Software/Microsoft/Internet Explorer/Main,Search Bar = http://bmjqdo.t.rack.cc/sp.php (obfuscated)
R1 - HKCU/Software/Microsoft/Internet Explorer/Main,Search Page = http://bmjqdo.t.rack.cc/sp.php (obfuscated)
R0 - HKCU/Software/Microsoft/Internet Explorer/Main,Start Page = http://bmjqdo.t.rack.cc/hp.php (obfuscated)
R1 - HKCU/Software/Microsoft/Internet Explorer/Search,SearchAssistant = http://bmjqdo.t.rack.cc/sp.php (obfuscated)
R1 - HKCU/Software/Microsoft/Internet Explorer/Search,CustomizeSearch = about:blank
R0 - HKLM/Software/Microsoft/Internet Explorer/Main,Start Page = http://bmjqdo.t.rack.cc/hp.php (obfuscated)
R1 - HKLM/Software/Microsoft/Internet Explorer/Main,Search Bar = http://bmjqdo.t.rack.cc/sp.php (obfuscated)
R1 - HKLM/Software/Microsoft/Internet Explorer/Main,Search Page = http://bmjqdo.t.rack.cc/sp.php (obfuscated)
R1 - HKLM/Software/Microsoft/Internet Explorer/Main,Default_Page_URL = http://www.medion.com/
R0 - HKLM/Software/Microsoft/Internet Explorer/Search,SearchAssistant = http://bmjqdo.t.rack.cc/sp.php (obfuscated)
R1 - HKCU/Software/Microsoft/Internet Explorer/SearchURL,(Default) = about:blank
R1 - HKCU/Software/Microsoft/Internet Explorer/Main,HomeOldSP = http://bmjqdo.t.rack.cc/hp.php (obfuscated)
R0 - HKCU/Software/Microsoft/Internet Explorer/Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:/Programmer/Adobe/Acrobat 5.0/Reader/ActiveX/AcroIEHelper.ocx
O2 - BHO: (no name) - {1F48AA48-C53A-4E21-85E7-AC7CC6B5FFAD} - C:/DOCUME~1/SREN~1/LOKALE~1/Temp/winmkin.dll
O3 - Toolbar: &Radio; - {8E718888-423F-11D2-876E-00A0C9082467} - C:/WINDOWS/System32/msdxm.ocx
O4 - HKLM/../Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM/../Run: [nwiz] nwiz.exe /install
O4 - HKLM/../Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM/../Run: [NeroCheck] C:/WINDOWS/System32//NeroCheck.exe
O4 - HKLM/../Run: [SO5 Integrator Pass Two] C:/WINDOWS/SOINTGR.EXE
O4 - HKLM/../Run: [WinampAgent] “C:/Programmer/Winamp3/winampa.exe”
O4 - HKLM/../Run: [sys] regedit -s sys.reg
O4 - HKCU/../Run: [msnmsgr] “C:/Programmer/MSN Messenger/MsnMsgr.Exe” /background
O4 - Startup: Microsoft Hurtig søgning.lnk = C:/Programmer/Microsoft Office/Office/FINDFAST.EXE
O4 - Startup: Microsoft Office-start.lnk = C:/Programmer/Microsoft Office/Office/OSA.EXE
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:/Programmer/Microsoft Office/Office/OSA9.EXE
O4 - Global Startup: Microsoft Works Calendar Reminders.lnk = ?
O6 - HKCU/Software/Policies/Microsoft/Internet Explorer/Control Panel present
O9 - Extra button: SEARCH (HKLM)
O9 - Extra button: ANTIVIRUS (HKLM)
O9 - Extra button: ENTERTAINMENT (HKLM)
O9 - Extra button: SECURITY (HKLM)
O9 - Extra button: SEARCH (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.com/
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37846.9721412037
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://register3.valueactive.com/vip_236/webolr/OCX/FlashAX.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey®) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O16 - DPF: {F6A56D95-A3A3-11D2-AC26-400000058481} (Danske e-Sec) - https://netbank.danskebank.dk/html/activex/danskesikker/DB/DanskeSikker.cab

På forhånd tak

Søren

Hent CWShredder her:

http://www.spywareinfo.com/~merijn/files/CWShredder.exe

Kør programmet, tjek for updates, luk alle vinduer, undtagen CWShredder, klik på Fix. Programmet scanner nu. Når det er færdigt, så klik på Next og Exit.

Genstart og derefter sender du en ny HijackThis-log herind.

Her er så den nye Hijack-logfile..

Logfile of HijackThis v1.97.7
Scan saved at 21:29:15, on 18-03-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:/WINDOWS/System32/smss.exe
C:/WINDOWS/system32/winlogon.exe
C:/WINDOWS/system32/services.exe
C:/WINDOWS/system32/lsass.exe
C:/WINDOWS/system32/svchost.exe
C:/WINDOWS/System32/svchost.exe
C:/WINDOWS/system32/spoolsv.exe
C:/WINDOWS/Explorer.EXE
C:/WINDOWS/SOUNDMAN.EXE
C:/WINDOWS/SOINTGR.EXE
C:/Programmer/Winamp3/winampa.exe
C:/Programmer/MSN Messenger/MsnMsgr.Exe
C:/Programmer/Hewlett-Packard/Digital Imaging/bin/hpohmr08.exe
C:/Programmer/Hewlett-Packard/Digital Imaging/bin/hpotdd01.exe
C:/Programmer/Fælles filer/Microsoft Shared/Works Shared/wkcalrem.exe
C:/Programmer/Microsoft Office/Office/OSA.EXE
C:/WINDOWS/System32/nvsvc32.exe
C:/Programmer/Hewlett-Packard/Digital Imaging/bin/hpoevm08.exe
C:/WINDOWS/System32/svchost.exe
C:/Programmer/Hewlett-Packard/Digital Imaging/Bin/hpoSTS08.exe
C:/Programmer/Internet Explorer/iexplore.exe
C:/WINDOWS/System32/wuauclt.exe
C:/Documents and Settings/Søren/Dokumenter/Modtagne filer/HijackThis.exe

R1 - HKCU/Software/Microsoft/Internet Explorer/Search,CustomizeSearch = about:blank
R1 - HKLM/Software/Microsoft/Internet Explorer/Main,Default_Page_URL = http://www.medion.com/
R1 - HKCU/Software/Microsoft/Internet Explorer/SearchURL,(Default) = about:blank
R0 - HKCU/Software/Microsoft/Internet Explorer/Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:/Programmer/Adobe/Acrobat 5.0/Reader/ActiveX/AcroIEHelper.ocx
O2 - BHO: (no name) - {1F48AA48-C53A-4E21-85E7-AC7CC6B5FFAD} - C:/DOCUME~1/SREN~1/LOKALE~1/Temp/winmkin.dll
O3 - Toolbar: &Radio; - {8E718888-423F-11D2-876E-00A0C9082467} - C:/WINDOWS/System32/msdxm.ocx
O4 - HKLM/../Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM/../Run: [nwiz] nwiz.exe /install
O4 - HKLM/../Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM/../Run: [NeroCheck] C:/WINDOWS/System32//NeroCheck.exe
O4 - HKLM/../Run: [SO5 Integrator Pass Two] C:/WINDOWS/SOINTGR.EXE
O4 - HKLM/../Run: [WinampAgent] “C:/Programmer/Winamp3/winampa.exe”
O4 - HKCU/../Run: [msnmsgr] “C:/Programmer/MSN Messenger/MsnMsgr.Exe” /background
O4 - Startup: Microsoft Hurtig søgning.lnk = C:/Programmer/Microsoft Office/Office/FINDFAST.EXE
O4 - Startup: Microsoft Office-start.lnk = C:/Programmer/Microsoft Office/Office/OSA.EXE
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:/Programmer/Microsoft Office/Office/OSA9.EXE
O4 - Global Startup: Microsoft Works Calendar Reminders.lnk = ?
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.com/
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37846.9721412037
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://register3.valueactive.com/vip_236/webolr/OCX/FlashAX.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey®) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O16 - DPF: {F6A56D95-A3A3-11D2-AC26-400000058481} (Danske e-Sec) - https://netbank.danskebank.dk/html/activex/danskesikker/DB/DanskeSikker.cab

Nu skal jeg kigge loggen igennem.

Følg vejledningen her: http://www.spywarefri.dk/hjtanv.htm (punkt 4-5). Fix disse med HijackThis:

R1 - HKCU/Software/Microsoft/Internet Explorer/Search,CustomizeSearch = about:blank
R1 - HKCU/Software/Microsoft/Internet Explorer/SearchURL,(Default) = about:blank

O2 - BHO: (no name) - {1F48AA48-C53A-4E21-85E7-AC7CC6B5FFAD} - C:/DOCUME~1/SREN~1/LOKALE~1/Temp/winmkin.dll

O4 - Startup: Microsoft Hurtig søgning.lnk = C:/Programmer/Microsoft Office/Office/FINDFAST.EXE
O4 - Startup: Microsoft Office-start.lnk = C:/Programmer/Microsoft Office/Office/OSA.EXE
O4 - Global Startup: Microsoft Office.lnk = C:/Programmer/Microsoft Office/Office/OSA9.EXE

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://register3.valueactive.com/vip_236/webolr/OCX/FlashAX.cab

——
Åbn en mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved “Skjul beskyttede operativsystemfiler”.
Fjern flueben ved “Skjul filtypenavne for kendte filtyper”.
Sæt prik i “Vis skjulte filer og mapper”.
——

Genstart i fejlsikret tilstand (F8 i opstart). Find og slet:

C:/DOCUME~1/SREN~1/LOKALE~1/Temp/winmkin.dll >>>> filen winmkin.dll

Genstart normalt og ny log til tjek - tak

Jeg kan ikke finde den sidste fil, men er heller ikke sikker på jeg er i fejlsikret tilstand.. Som sagt er jeg ikke nogen konge ved en computer.. hvornår skal jeg trykke F8 f.eks.?? lige så snart skærmen er sort eller??

Du kan taste på f8 tasten idet computeren starter op, tryk bare flere gange, så skal du nok ramme det rigtige tidspunkt.

Du skal søge efter den fil der i skjulte filer, den er nemlig skjult den der.

Nu har jeg forsøgt at finde den fil i fejlsikret tilstand og har også søgt i “skjulte mapper og filer”.. Den er der altså ikke..
Du får lige den nyeste Hijack-log, så kan du se om det stadig er helt galt.. Må desværre til køjs, da arbejdet kalder i morgen, men skriv endelig tilbage så jeg (forhåbentligt) kan blive helt fri.
Skriv også lige hvad jeg skal gøre mht den manglende fil..

Logfile of HijackThis v1.97.7
Scan saved at 00:33:45, on 19-03-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:/WINDOWS/System32/smss.exe
C:/WINDOWS/system32/winlogon.exe
C:/WINDOWS/system32/services.exe
C:/WINDOWS/system32/lsass.exe
C:/WINDOWS/system32/svchost.exe
C:/WINDOWS/System32/svchost.exe
C:/WINDOWS/system32/spoolsv.exe
C:/WINDOWS/Explorer.EXE
C:/WINDOWS/SOUNDMAN.EXE
C:/WINDOWS/SOINTGR.EXE
C:/Programmer/Winamp3/winampa.exe
C:/Programmer/MSN Messenger/MsnMsgr.Exe
C:/Programmer/Hewlett-Packard/Digital Imaging/bin/hpohmr08.exe
C:/Programmer/Hewlett-Packard/Digital Imaging/bin/hpotdd01.exe
C:/Programmer/Fælles filer/Microsoft Shared/Works Shared/wkcalrem.exe
C:/WINDOWS/System32/nvsvc32.exe
C:/Programmer/Hewlett-Packard/Digital Imaging/bin/hpoevm08.exe
C:/WINDOWS/System32/svchost.exe
C:/Programmer/Hewlett-Packard/Digital Imaging/Bin/hpoSTS08.exe
C:/WINDOWS/System32/wuauclt.exe
C:/Documents and Settings/Søren/Dokumenter/Modtagne filer/HijackThis.exe

R1 - HKLM/Software/Microsoft/Internet Explorer/Main,Default_Page_URL = http://www.medion.com/
R0 - HKCU/Software/Microsoft/Internet Explorer/Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:/Programmer/Adobe/Acrobat 5.0/Reader/ActiveX/AcroIEHelper.ocx
O3 - Toolbar: &Radio; - {8E718888-423F-11D2-876E-00A0C9082467} - C:/WINDOWS/System32/msdxm.ocx
O4 - HKLM/../Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM/../Run: [nwiz] nwiz.exe /install
O4 - HKLM/../Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM/../Run: [NeroCheck] C:/WINDOWS/System32//NeroCheck.exe
O4 - HKLM/../Run: [SO5 Integrator Pass Two] C:/WINDOWS/SOINTGR.EXE
O4 - HKLM/../Run: [WinampAgent] “C:/Programmer/Winamp3/winampa.exe”
O4 - HKCU/../Run: [msnmsgr] “C:/Programmer/MSN Messenger/MsnMsgr.Exe” /background
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Works Calendar Reminders.lnk = ?
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.com/
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37846.9721412037
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey®) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O16 - DPF: {F6A56D95-A3A3-11D2-AC26-400000058481} (Danske e-Sec) - https://netbank.danskebank.dk/html/activex/danskesikker/DB/DanskeSikker.cab

Mange tak for hjælpen indtil videre.. Lad os nu få has på det lort

Søren

Hej Søren

Skidt med den fil du ikke kan finde, for den er væk nu.

Din computer er nu helt ren og du må gerne slå systemgendannelsen til igen.
For at sikre din pc fremover ville det være en god idé at bruge nogle af programmerne fra vores lille pakke som du kan se her:
http://www.spywarefri.dk/pakken.htm

Især vil jeg anbefale Spybot/og eller Ad-aware, SpywareBlaster, IE Privacy Keeper, IE-Spyad og SpywareGuard som minimum. De er alle gratis, fylder ikke meget, sløver ikke din pc og konflikter ikke med dine andre programmer

Og så skal du også lige skjule dine filer og mapper igen, så du ikke ved en fejl kommer til at slette en vigtig fil. Det gør du samme sted, hvor du satte det til at vise alle filer, denne gang vælger du bare: Vis ikke skjulte filer og mapper.

Mange tak for hjælpen.. Har installeret alle de programmer du anbefalede og kørt dem alle.. Lad os så håbe det er nok.. Har bare lige et sidste spørgsmål.. Da jeg kørte SpywareBlaster dukkede der en lang række “item names” op alle med rød skrift og langt de fleste “typed” som spyware.. Skal jeg gøre noget ved dem og så tilfælde hvordan..??

Ellers rigtig mange tak for hjælpen.. Håber det fungerer nu

Søren

Hej Søren

Når alle de adresser der er røde, så er du endnu ikke beskyttet mod de ting. Det du skal gøre er, at du klikker på : Select All og derefter på Protect Against Checked items

Inden du gør det, er det en rigtig god idé at klikke på check for update.

Prøv lige at kigge i min manual hvis du er i tvivl: http://www.spywarefri.dk/spybl.manuel.htm

Ellers vender du bare tilbage igen.

Så er den klaret.. Og startsiden var tilbage da jeg loggede på mit Internet nu her.. Herligt..
Meeeen.. Jeg har lige et allersidste spørgsmål til jer, som jeg kom i tanke om i dag.. På denne PC er vi 2 brugere.. Skal jeg logge på med hendes bruger og gøre noget der, eller er det hele fixet nu..??

Tusind tak for hjælpen, og et tilskud til siden skal nok komme fra min side

Det hele er fixet nu