Administrator
Antal indlæg: 55087
Hej Spywarefri
Jeg har kørt spybot og ad-aware, men intet hjælper. Jeg fulgt andres eksempel og har netop optaget en en log vha. Hijack this den ser sådan ud:
Running processes:
R1 - HKCU/Software/Microsoft/Internet Explorer/Main,Search Bar = res://C:/WINDOWS/System32/dfnb.dll/sp.html (obfuscated)http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38063.2840393518 http://activex.microgaming.com/DLhelper/version7/dlhelper.cab http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Er det noget i kan hjælpe mig med??
Hilsen Kresten
Signatur
Member of “Alliance of Security Analysis Professionals” - Alle angaben wie immer “nur mit pistole”
Græd du også over eventyret om smedens kat, da du var lille? http://www.spywarefri.dk/medarbejderne/
Nierne bomaye - You’ll never walk alone qui potest, obligatur
Administrator
Antal indlæg: 55087
1. Download og installer følgende programmer:
Reglite - http://www.resplendence.com/reglite http://www.lavasoft.de/support/download/ http://www.safer-networking.org/index.php?lang=en&page=download
2. Download og pak følgende programmer ud til deres egne mapper:
CWShredder - http://www.spywareinfo.com/downloads/tools/CWShredder.exe http://download.broadbandmedic.com/VbStuff/KillBox.zip
3. Kør Reglite og skriv
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Windows//AppInit_DLLs
ind i “Adress” feltet, tryk <Enter>.
4. Dobbeltklik på AppInit_DLLs for at åbne “Data Editor”, hvis det nederste felt kaldet “Value” indeholder en .dll fil er det den vi leder efter.
5. Den kan ikke slettes endnu, skriv stien og navnet ned på et stykke papir, det skal bruges senere.
6. I venstre vindue, højreklik på mappen “Windows”(Den er fremhævet med lilla), vælg “Rename” og omdøb den til “Notwindows”.
7. Klik på AppInit_DLLs igen, slet værdien der indeholder .dll’en klik OK, så burde den være væk.
8. Omdøb “Notwindows” tilbage til “Windows”
9. Kør Spybot, Ad-aware og CWShredder, husk at opdatere online inden du kører programmet.
10. Nu er det tid til at slette den .dll fil.
11. Kør TheKillBox (skal være pakket ud til sin egen mappe). I tekstfeltet skriver du stien til den fil du skrev ned tidligere (eksempelvis c:/windows/system23/dllha.dll). Nu skal du vælge Action -> Delete on reboot. Nu dukker der et lille vindue op - vælg File -> Add file. Vælg Action -> Process and reboot
12. Genstart din PC i Fejlsikret tilstand (ved at taste F8 under opstart). Kør Spybot, Ad-aware og CWShredder igen. Genstart i Normal mode og læg en frisk HijackThis log herind.
Hvis pkt. 11 ikke virker: Gå i Start -> Kør og skriv cmd og klik OK. Du er nu i et DOS-vindue. Skriv attrib -r “stien til filen du skal slette” (eksempelvis attrib -r c:/windows/system23/dllha.dll)
Gentag pkt. 11 - 12.
Signatur
Member of “Alliance of Security Analysis Professionals” - Alle angaben wie immer “nur mit pistole”
Græd du også over eventyret om smedens kat, da du var lille? http://www.spywarefri.dk/medarbejderne/
Nierne bomaye - You’ll never walk alone qui potest, obligatur
Jeg har fulgt din opskrift og det ser ud til at virke!!!
Ny log:
Logfile of HijackThis v1.97.7
Running processes:
R1 - HKCU/Software/Microsoft/Windows/CurrentVersion/Internet Settings,ProxyOverride = *hot-searches.com*;*lender-search.com*http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38063.2840393518 http://activex.microgaming.com/DLhelper/version7/dlhelper.cab http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Og dog….
Der er stadig pop-up når jeg lukker explore:-<
Administrator
Antal indlæg: 55087
Deaktiver systemgendannelse:http://www.spywarefri.dk/virusscannere.htm#alle
Kør Hijackthis, scan, sæt flueben ved linierne listet her, luk alle vinduer undtaget Hijackthis, klik på fix checked, genstart i fejlsikret(Tryk <F8> under opstart) og slet filerne listet nederst.
R1 - HKCU/Software/Microsoft/Windows/CurrentVersion/Internet Settings,ProxyOverride = *hot-searches.com*;*lender-search.com*http://activex.microgaming.com/DLhelper/version7/dlhelper.cab
———————————————————-http://intern.sdu.dk/it-service/tjenester/ftphotel/ftpindhold/ servicepacks + IEhttp://www.microsoft.com/downloads/details.aspx?FamilyId=D531BF00-D7BE-48E3-ABCC-961602BD72C2&displaylang=da - Hotfixes efter SP1 til XP.http://www.microsoft.com/downloads/details.aspx?displaylang=da&FamilyID=3549EA9E-DA3F-43B9-A4F1-AF243B6168F3 - Sasserfix.
Genstart og kom med en ny logfil, så jeg kan se om alt er med.
Signatur
Member of “Alliance of Security Analysis Professionals” - Alle angaben wie immer “nur mit pistole”
Græd du også over eventyret om smedens kat, da du var lille? http://www.spywarefri.dk/medarbejderne/
Nierne bomaye - You’ll never walk alone qui potest, obligatur
Hej jeg prøver at følge din vejledning, men kan ikke finde og slette filerne———————————————————-
Running processes:
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:/Programmer/Adobe/Acrobat 6.0/Acrobat/ActiveX/AcroIEHelper.dllhttp://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38063.2840393518 http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
.....Forsættelse til posten ovenfor
ps. jeg har gentaget pkt 1-12 samt afinstalleret mit p2p-program ARES og slettet alt der var i shared folder.
Logfile of HijackThis v1.97.7
Running processes:
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:/Programmer/Adobe/Acrobat 6.0/Acrobat/ActiveX/AcroIEHelper.dllhttp://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38063.2840393518 http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Redaktør
Antal indlæg: 25535
Hej Kresten
Der er lidt mere. Genstart i fejlsikret tilstand. Du kan taste f8 under opstart og vælge fejlsikret.
Kør en scanning med Hijackthis, så du kan se alle filer.
Det er disse, som skal fixes:
O4 - HKLM/../Run: [cwdiali] C:/WINDOWS/System32/cwdiali.exe
O4 - Global Startup: Microsoft Office.lnk = C:/Programmer/Microsoft Office/Office10/OSA.EXE
For at kunne se alle filer og mapper, så følg denne vejledning:
Genstart i fejlsikret tilstand søg og slet:cwdiali.exe
Jeg vil råde dig kraftigt til at hente og installere Sp1 til Windows og IE samt alle kritiske opdateringer her:http://v4.windowsupdate.microsoft.com/da/default.asp
Du vil blive ved at få problemer så længe du ikke har opdateret.
Genstart og så en ny log tjek, men først efter opdateringen.
Administrator
Antal indlæg: 55087
Angående Atapi.sys den skal du bare slette, omdøb den evt. til atapi.old.
Signatur
Member of “Alliance of Security Analysis Professionals” - Alle angaben wie immer “nur mit pistole”
Græd du også over eventyret om smedens kat, da du var lille? http://www.spywarefri.dk/medarbejderne/
Nierne bomaye - You’ll never walk alone qui potest, obligatur
Jeg prøvede at omdøbe ATAPI.sys of slette
O4 - Global Startup: Microsoft Office.lnk = C:/Programmer/Microsoft Office/Office10/OSA.EXE
Derefter genstartede jeg og så gik det galt…..
PS. har kørt spybot,adaware, spykiller, spy sweeper og CWShredder
Running processes:
R1 - HKCU/Software/Microsoft/Internet Explorer/Main,Search Bar = res://C:/WINDOWS/mrhop.dll/sp.html (obfuscated)http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Redaktør
Antal indlæg: 17644
Hent dette program og installer det:
http://www.diamondcs.com.au/downloads/apm.exe
I det øverste vindue skal du vælge Explorer.exe - i det nederste vindue skal du finde mrhop.dll, højreklikke på den og vælge “Unload DLL” - klik OK.
Kør HijackThis, scan og sæt et flueben ud for følgende linier - luk øvrige programvinduer - klik “Fix checked”:
R1 - HKCU/Software/Microsoft/Internet Explorer/Main,Search Bar = res://C:/WINDOWS/mrhop.dll/sp.html (obfuscated)
O2 - BHO: (no name) - {0ABC9079-7B63-44F4-87B9-3AB3B796A729} - C:/WINDOWS/mrhop.dll
Genstart
Installer, opdater og scan med Adaware (http://www.lavasoft.de/software/adaware ). Indstillinger inden scanning:
http://www.spywarefri.dk/tipsogtricks.htm#adaware
Signatur
Gode råd om sikkerhed….
Ny log
Running processes:
R0 - HKCU/Software/Microsoft/Internet Explorer/Toolbar,LinksFolderName = Hyperlinkshttp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Redaktør
Antal indlæg: 17644
Spykiller kan jeg ikke anbefale og jeg vil foreslå, at du afinstallerer den ved Start -> Kontrol Panel -> Tilføj/fjern programmer. Spykiller lægger selv adware/spyware på din computer.
Ares.exe - er det noget du har lagt ind selv?
Signatur
Gode råd om sikkerhed….
