Hej knall og velkommen til Spywarefri

Følg denne anvisning her punkt 1-3 http://www.spywarefri.dk/hjtanv.htm og kopier resultatet ind i denne tråd her. Du klikker bare på kommenter, for at komme ind i samme tråd, og så kopier du loggen herind. Så kigger vi på den for dig, og fortæller dig hvad der videre skal ske. *S*

Jeg kunne ikke umidelbart pakke HijackThis ud. Den var klar til brug med det samme…

Loggen skulle meget gerne komme her!!!

Logfile of HijackThis v1.97.7
Scan saved at 18:18:57, on 11-05-2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:/WINDOWS/System32/smss.exe
C:/WINDOWS/system32/winlogon.exe
C:/WINDOWS/system32/services.exe
C:/WINDOWS/system32/lsass.exe
C:/WINDOWS/system32/svchost.exe
C:/WINDOWS/System32/svchost.exe
C:/WINDOWS/system32/spoolsv.exe
C:/WINDOWS/Explorer.EXE
C:/WINDOWS/system32/slserv.exe
C:/Programmer/FSI/F-Prot/F-StopW.EXE
D:/Winamp3/winampa.exe
C:/WINDOWS/System32/msrexe.exe
C:/WINDOWS/sllights.exe
C:/Programmer/Internet Explorer/IEXPLORE.EXE
C:/Documents and Settings/admin/Dokumenter/Ny mappe/HijackThis.exe

R1 - HKCU/Software/Microsoft/Internet Explorer,SearchURL = http://aifind.info/
R1 - HKCU/Software/Microsoft/Internet Explorer/Main,Search Bar = http://homepage.com@www.e-finder.cc/search/ (obfuscated)
R1 - HKCU/Software/Microsoft/Internet Explorer/Main,Search Page = http://homepage.com@www.e-finder.cc/search/ (obfuscated)
R1 - HKCU/Software/Microsoft/Internet Explorer/Main,Default_Search_URL = http://homepage.com@www.e-finder.cc/search/ (obfuscated)
R1 - HKCU/Software/Microsoft/Internet Explorer/Search,SearchAssistant = http://homepage.com@www.e-finder.cc/search/ (obfuscated)
R1 - HKCU/Software/Microsoft/Internet Explorer/Search,CustomizeSearch = http://homepage.com@www.e-finder.cc/search/ (obfuscated)
R0 - HKLM/Software/Microsoft/Internet Explorer/Main,Start Page = http://homepage.com@www.e-finder.cc/hp/ (obfuscated)
R1 - HKLM/Software/Microsoft/Internet Explorer/Main,Search Bar = http://homepage.com@www.e-finder.cc/search/ (obfuscated)
R1 - HKLM/Software/Microsoft/Internet Explorer/Main,Search Page = http://homepage.com@www.e-finder.cc/search/ (obfuscated)
R1 - HKLM/Software/Microsoft/Internet Explorer/Main,Default_Search_URL = http://homepage.com@www.e-finder.cc/search/ (obfuscated)
R0 - HKLM/Software/Microsoft/Internet Explorer/Search,CustomizeSearch = http://homepage.com@www.e-finder.cc/search/ (obfuscated)
R0 - HKLM/Software/Microsoft/Internet Explorer/Search,SearchAssistant = http://homepage.com@www.e-finder.cc/search/ (obfuscated)
R1 - HKCU/Software/Microsoft/Internet Explorer/SearchURL,(Default) = http://homepage.com@www.e-finder.cc/search/ (obfuscated)
R1 - HKCU/Software/Microsoft/Internet Explorer/Main,HomeOldSP = http://hcwvwd.t.muxa.cc/h.php?aid=227 (obfuscated)
R0 - HKCU/Software/Microsoft/Internet Explorer/Toolbar,LinksFolderName = Hyperlinks
R1 - HKCU/Software/Microsoft/Internet Connection Wizard,Shellnext = http://windowsupdate.microsoft.com/
R1 - HKLM/Software/Microsoft/Internet Explorer/Search,(Default) = http://homepage.com@www.e-finder.cc/search/ (obfuscated)
O1 - Hosts: 213.159.117.235 auto.search.msn.com
O3 - Toolbar: &Radio; - {8E718888-423F-11D2-876E-00A0C9082467} - C:/WINDOWS/System32/msdxm.ocx
O4 - HKLM/../Run: [F-StopW] C:/Programmer/FSI/F-Prot/F-StopW.EXE
O4 - HKLM/../Run: [WinampAgent] “D:/Winamp3/winampa.exe”
O4 - HKLM/../Run: [ICQ Lite] C:/Programmer/ICQLite/ICQLite.exe -minimize
O4 - HKLM/../Run: [System Service] C:/WINDOWS/System32/msrexe.exe
O4 - HKLM/../Run: [sys] regedit -s sys.reg
O4 - HKCU/../Run: [AddClass] C:/WINDOWS/AddCLS.exe
O4 - HKCU/../RunOnce: [ICQ Lite] C:/Programmer/ICQLite/ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:/Programmer/Microsoft Office/Office/OSA9.EXE
O8 - Extra context menu item: E&ksporter; til Microsoft Excel - res://C:/PROGRA~1/MICROS~2/Office10/EXCEL.EXE/3000
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra ‘Tools’ menuitem: ICQ Lite (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra ‘Tools’ menuitem: Show &Related; Links (HKLM)
O13 - WWW. Prefix: http://ehttp.cc/?
O15 - Trusted Zone: http://www.danskebank.dk
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/swdir.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey®) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O17 - HKLM/System/CCS/Services/Tcpip/../{39852AEC-2E2A-4452-9264-ACC643EE55F4}: NameServer = 195.82.195.101 129.142.7.101
O17 - HKLM/System/CS1/Services/Tcpip/../{39852AEC-2E2A-4452-9264-ACC643EE55F4}: NameServer = 195.82.195.101 129.142.7.101
O19 - User stylesheet: C:/WINDOWS/my.css
O19 - User stylesheet: C:/WINDOWS/hh.htt (HKLM)

Hej igen knall

Ja den har det da vist ikke for godt. *S*

Hent CWShredder her:
http://www.computercops.biz/zx/phoenix22/cws.zip
Pak zipfilen ud i en mappe.
Kør programmet, tjek for updates, afbryd din internetforbindelse fysisk (stikket ud), luk alle vinduer undtaget cwshredder, klik på Fix, den scanner nu, når den er færdigt klik på Next, klik på Exit.

Derefter en tur i Regedit.
Klik på Start gå i - Kør - skriv: regedit - tast enter
Du får et vindue lidt ligesom stifinder.
Gå i rediger - ned i søg - i linjen skriver du: HOMEOldSP
Klik på find næste. Delete filen hvis den findes. Tast f3 for at finde næste (der er sikkert kun en) Luk på X når du får at vide der ikke er flere filer at finde.

Genstart, og en ny hijackthislog.

Så er jeg her igen…

Det gik nu fint nok, bortset fra at computeren ikke kunne finde nogen fil ved navn HOMEOldSP.

Loggen følger her:

Logfile of HijackThis v1.97.7
Scan saved at 19:39:46, on 11-05-2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:/WINDOWS/System32/smss.exe
C:/WINDOWS/system32/winlogon.exe
C:/WINDOWS/system32/services.exe
C:/WINDOWS/system32/lsass.exe
C:/WINDOWS/system32/svchost.exe
C:/WINDOWS/System32/svchost.exe
C:/WINDOWS/system32/spoolsv.exe
C:/WINDOWS/system32/slserv.exe
C:/WINDOWS/Explorer.EXE
C:/Programmer/FSI/F-Prot/F-StopW.EXE
D:/Winamp3/winampa.exe
C:/WINDOWS/System32/msrexe.exe
C:/WINDOWS/sllights.exe
C:/Programmer/Internet Explorer/IEXPLORE.EXE
C:/Documents and Settings/admin/Dokumenter/Ny mappe/HijackThis.exe

R0 - HKCU/Software/Microsoft/Internet Explorer/Toolbar,LinksFolderName = Hyperlinks
R1 - HKCU/Software/Microsoft/Internet Connection Wizard,Shellnext = http://windowsupdate.microsoft.com/
O1 - Hosts: 213.159.117.235 auto.search.msn.com
O3 - Toolbar: &Radio; - {8E718888-423F-11D2-876E-00A0C9082467} - C:/WINDOWS/System32/msdxm.ocx
O4 - HKLM/../Run: [F-StopW] C:/Programmer/FSI/F-Prot/F-StopW.EXE
O4 - HKLM/../Run: [WinampAgent] “D:/Winamp3/winampa.exe”
O4 - HKLM/../Run: [ICQ Lite] C:/Programmer/ICQLite/ICQLite.exe -minimize
O4 - HKLM/../Run: [System Service] C:/WINDOWS/System32/msrexe.exe
O4 - HKCU/../RunOnce: [ICQ Lite] C:/Programmer/ICQLite/ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:/Programmer/Microsoft Office/Office/OSA9.EXE
O8 - Extra context menu item: E&ksporter; til Microsoft Excel - res://C:/PROGRA~1/MICROS~2/Office10/EXCEL.EXE/3000
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra ‘Tools’ menuitem: ICQ Lite (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra ‘Tools’ menuitem: Show &Related; Links (HKLM)
O15 - Trusted Zone: http://www.danskebank.dk
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/swdir.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey®) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O17 - HKLM/System/CCS/Services/Tcpip/../{39852AEC-2E2A-4452-9264-ACC643EE55F4}: NameServer = 195.82.195.101 129.142.7.101
O17 - HKLM/System/CS1/Services/Tcpip/../{39852AEC-2E2A-4452-9264-ACC643EE55F4}: NameServer = 195.82.195.101 129.142.7.101
O19 - User stylesheet: C:/WINDOWS/hh.htt (HKLM)

1. Du skal i gang med at fixe. Først deaktiver systemgendannelse (http://www.spywarefri.dk/virusscannere.htm#alle).

2. For at kunne se alle filer:

Åbn en mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved “Skjul beskyttede operativsystemfiler”.
Fjern flueben ved “Skjul filtypenavne for kendte filtyper”.
Sæt prik i “Vis skjulte filer og mapper”.

3. Dernæst genstart i Fejlsikret tilstand (ved at taste F8 under opstart).

4. Kør HijackThis, scan og sæt et flueben ud for følgende linier - luk øvrige programvinduer - klik “Fix checked”:

O1 - Hosts: 213.159.117.235 auto.search.msn.com
O4 - HKLM/../Run: [System Service] C:/WINDOWS/System32/msrexe.exe
O4 - Global Startup: Microsoft Office.lnk = C:/Programmer/Microsoft Office/Office/OSA9.EXE
O19 - User stylesheet: C:/WINDOWS/hh.htt (HKLM)

5. Find og slet

C:/WINDOWS/System32/msrexe.exe
C:/WINDOWS/hh.htt

Genstart i Normal tilstand, og opdater din WinXP og Internet Explorer her:

http://v4.windowsupdate.microsoft.com/da/default.asp

Kør HijackThis, scan og læg en frisk log herind.

Jeg er nået så langt til at slette de to filer…

men hvorfor kan jeg ikke slette C:/WINDOWS/System32/msrexe.exe ???

Den skriver at adgangen er nægtet

Er du i fejlsikret tilstand? Tryk CTRL+ALT+DEL og vælg fanebladet Processer. Find msrexe.exe - højreklik på den og vælg Afslut proces og prøv at slette den nu.

Jeg er ved at hente og opdatere filer nu..

Den foreslår 27 forskellige filer osv.. Jeg ved ike hvad for noget af det jeg skulle bruge, så jeg tog det hele..

Hej knall

Det lyder som en rigtig god idé, det er alt for farligt uden denne opdatering. *S*

Så er jeg her igen…

Som aftalt sender jeg her den sidste nye log.

Logfile of HijackThis v1.97.7
Scan saved at 18:04:02, on 19-05-2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:/WINDOWS/System32/smss.exe
C:/WINDOWS/system32/winlogon.exe
C:/WINDOWS/system32/services.exe
C:/WINDOWS/system32/lsass.exe
C:/WINDOWS/system32/svchost.exe
C:/WINDOWS/System32/svchost.exe
C:/WINDOWS/system32/spoolsv.exe
C:/WINDOWS/Explorer.EXE
C:/Programmer/FSI/F-Prot/F-StopW.EXE
D:/Winamp3/winampa.exe
C:/WINDOWS/system32/slserv.exe
C:/Programmer/Internet Explorer/IEXPLORE.EXE
C:/Documents and Settings/admin/Dokumenter/Ny mappe/HijackThis.exe

R0 - HKCU/Software/Microsoft/Internet Explorer/Toolbar,LinksFolderName = Hyperlinks
R1 - HKCU/Software/Microsoft/Internet Connection Wizard,Shellnext = http://windowsupdate.microsoft.com/
O3 - Toolbar: &Radio; - {8E718888-423F-11D2-876E-00A0C9082467} - C:/WINDOWS/System32/msdxm.ocx
O4 - HKLM/../Run: [F-StopW] C:/Programmer/FSI/F-Prot/F-StopW.EXE
O4 - HKLM/../Run: [WinampAgent] “D:/Winamp3/winampa.exe”
O4 - HKLM/../Run: [ICQ Lite] C:/Programmer/ICQLite/ICQLite.exe -minimize
O4 - HKCU/../RunOnce: [ICQ Lite] C:/Programmer/ICQLite/ICQLite.exe -trayboot
O8 - Extra context menu item: E&ksporter; til Microsoft Excel - res://C:/PROGRA~1/MICROS~2/Office10/EXCEL.EXE/3000
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra ‘Tools’ menuitem: ICQ Lite (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra ‘Tools’ menuitem: Show &Related; Links (HKLM)
O15 - Trusted Zone: http://www.danskebank.dk
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/swdir.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38118.5614236111
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey®) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab

Loggen er ren, men stadig uden servicepack 1.
Det er ekstremt svært at holde skidtet ude uden den.
For at prøve at holde den ren kan du kigge på vores pakke til formålet.
http://www.spywarefri.dk/pakken.htm
Som minimum anbefaler jeg Spywareguard, Spywareblaster, IE-Spyad, Dcombobulator og IE Privacy Keeper.
Mvh:
Fromsej/Team Spywarefri.

Jeg kan ikke finde et link til Dcombobulator

Her: http://www.grc.com/files/DCOMbob.exe

Brugsanvisning: http://www.grc.com/dcom/

Nu har jeg fået downloaded de forskellige programmer osv…

Er jeg så helt clean nu???
Jeg kan se at jeg har været inde og rode med operatisystemfiler osv… Er der noget der skal aktiveres igen eller…??

God ide - aktiver systemgendannelse igen. For at skjule filer og mapper igen:

Åbn en mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Sæt flueben ved “Skjul beskyttede operativsystemfiler”.
Sæt flueben ved “Skjul filtypenavne for kendte filtyper”.
Fjern prik i “Vis skjulte filer og mapper”.

God fornøjelse