Hej the_dude1983 og velkommen til Spywarefri

Så er jeg da næsten helt ked af at fortælle dig, at det er en af de svære log af fixe den her. Men du må spørge hen ad vejen, for helt let bliver det desværre ikke.

1. Download og installer følgende programmer:

Reglite - http://www.resplendence.com/reglite
Adaware - http://www.lavasoft.de/support/download/
SpyBot S&D - http://www.safer-networking.org/index.php?lang=en&page=download

2. Download og pak følgende programmer ud til deres egne mapper:

CWShredder - http://www.spywareinfo.com/downloads/tools/CWShredder.exe
TheKillBox - http://download.broadbandmedic.com/VbStuff/KillBox.zip

3. Kør Reglite og skriv

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Windows//AppInit_DLLs

ind i “Adress” feltet, tryk <Enter>.

4. Dobbeltklik på AppInit_DLLs for at åbne “Data Editor”, hvis det nederste felt kaldet “Value” indeholder en .dll fil er det den vi leder efter.

5. Den kan ikke slettes endnu, skriv stien og navnet ned på et stykke papir, det skal bruges senere.

6. I venstre vindue, højreklik på mappen “Windows”(Den er fremhævet med lilla), vælg “Rename” og omdøb den til “Notwindows”.

7. Klik på AppInit_DLLs igen, slet værdien der indeholder .dll’en klik OK, så burde den være væk.

8. Omdøb “Notwindows” tilbage til “Windows”

9. Kør Spybot, Ad-aware og CWShredder, husk at opdatere online inden du kører programmet.

10. Nu er det tid til at slette den .dll fil.

11. Kør TheKillBox (skal være pakket ud til sin egen mappe). I tekstfeltet skriver du stien til den fil du skrev ned tidligere (eksempelvis c:/windows/system23/dllha.dll). Nu skal du vælge Action -> Delete on reboot. Nu dukker der et lille vindue op - vælg File -> Add file. Vælg Action -> Process and reboot

12. Genstart din PC i Fejlsikret tilstand (ved at taste F8 under opstart). Kør Spybot, Ad-aware og CWShredder igen. Genstart i Normal mode og læg en frisk HijackThis log herind.

Go Morn..

Prøvede at bruge linket til The Kill Box, men det virkede tilsyneladende ikke. Den gik ind på incredifind.com…

Du siger at at je skal INSTALLERE og pakke CWShredder ud i sin egen mappe. Jeg har downloadet til en egen mappe, men er sikker på hvad du mener med at pakke ud?? Troede først at det var pga. at det var en zip. fil, men det er det ik…

Ok jeg fik linket til at virke…

Nej, hvis det er en .exe fil skal den bare ligge i sin egen mappe, det skal vi lige have rettet til.

Har nu kørt Reglite, men da jeg dobbeltklikkede på AppInit_DLLs, stod der i nederste value-felt: (Value not set)...

Selvom der ikke stod noget kører jeg videre med Spybot, Ad-aware og CWShredder, men når jeg kommer til punkt 10, så er der jo ik rigtigt noget at skrive i tekstfeltet i TheKillBox. Skal jeg bare lade være med at køre programmet så og fortsætte med punkt 12: Opstart i fejlsikret tilstand og gennemkøring med Spybot, Ad-aware og CWShredder?

Ja.

Så er der sgu problemer igen. Har kørt Spybot og den har fundet to problemer: DSO exploit og Webdialer..

Når jeg så trykker afhjælp problemer, spørger den: Vil du fjerne de valgte emner og jeg trykker: ja, men så dukker der noget op på halvt tysk og dansk om at: C:/programmer/spybot - search & Destroy/includes/Browserpages.sbs -  Denne sti blev ikke fundet

Hmm, så drop Spybot, og gå videre til næste punkt.

Så er der en frisk log:

Logfile of HijackThis v1.97.7
Scan saved at 10:23:51, on 19-05-2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:/WINDOWS/System32/smss.exe
C:/WINDOWS/system32/winlogon.exe
C:/WINDOWS/system32/services.exe
C:/WINDOWS/system32/lsass.exe
C:/WINDOWS/system32/svchost.exe
C:/WINDOWS/System32/svchost.exe
C:/WINDOWS/system32/spoolsv.exe
C:/WINDOWS/Explorer.EXE
C:/Real/Player/realplay.exe
C:/WINDOWS/System32/qttask.exe
C:/Programmer/Trend Micro/PC-cillin 2002/pccguide.exe
C:/Programmer/Trend Micro/PC-cillin 2002/PCCClient.exe
C:/Programmer/Trend Micro/PC-cillin 2002/Pop3trap.exe
C:/Programmer/Winamp3/winampa.exe
C:/Programmer/Ahead/InCD/InCD.exe
C:/PROGRA~1/MYWEBS~1/bar/1.bin/mwsoemon.exe
C:/PROGRA~1/Adaptec/EASYCD~1/CreateCD/CreateCD.exe
C:/WINDOWS/System32/DRIVERS/CDANTSRV.EXE
C:/WINDOWS/System32/ctfmon.exe
C:/Programmer/Ahead/InCD/InCDsrv.exe
C:/PROGRA~1/PANICW~1/POP-UP~1/PSFREE.EXE
C:/Programmer/WinZip/WZQKPICK.EXE
C:/Programmer/TEXTware/HotKey/Twalink.exe
C:/Programmer/Slim 3000/ICON.EXE
C:/WINDOWS/twain_32/A4CIS/WATCH.exe
C:/WINDOWS/System32/nvsvc32.exe
C:/WINDOWS/system32/pctspk.exe
C:/WINDOWS/System32/svchost.exe
C:/Programmer/Trend Micro/PC-cillin 2002/Tmntsrv.exe
C:/Programmer/Trend Micro/PC-cillin 2002/PCCPFW.exe
C:/Programmer/Internet Explorer/iexplore.exe
C:/Documents and Settings/Morten Ø. Hansen/Dokumenter/Installationssfiler/Hijackthis/HijackThis.exe

R0 - HKCU/Software/Microsoft/Internet Explorer/Main,Start Page = http://jksearch.biz/redir.php
R1 - HKCU/Software/Microsoft/Internet Explorer/Main,Default_Page_URL = http://jksearch.biz/redir.php
R1 - HKCU/Software/Microsoft/Internet Explorer/Main,Default_Search_URL = about:blank
R0 - HKLM/Software/Microsoft/Internet Explorer/Main,Start Page = http://jksearch.biz/redir.php
R1 - HKLM/Software/Microsoft/Internet Explorer/Main,Default_Page_URL = http://jksearch.biz/redir.php
R0 - HKCU/Software/Microsoft/Internet Explorer/Main,Local Page = http://jksearch.biz/redir.php
R0 - HKLM/Software/Microsoft/Internet Explorer/Main,Local Page = http://jksearch.biz/redir.php
R0 - HKCU/Software/Microsoft/Internet Explorer/Toolbar,LinksFolderName = Hyperlinks
R3 - Default URLSearchHook is missing
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:/Programmer/MyWebSearch/SrchAstt/1.bin/MWSSRCAS.DLL
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:/Programmer/Adobe/Acrobat 6.0/Reader/ActiveX/AcroIEHelper.dll
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:/Programmer/MyWebSearch/bar/1.bin/MWSBAR.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:/Programmer/Spybot - Search & Destroy/SDHelper.dll (file missing)
O3 - Toolbar: &Radio; - {8E718888-423F-11D2-876E-00A0C9082467} - C:/WINDOWS/System32/msdxm.ocx
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:/Programmer/MSN Toolbar/01.01.1601.0/da/msntb.dll
O4 - HKLM/../Run: [RealTray] C:/Real/Player/realplay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM/../Run: [QuickTime Task] C:/WINDOWS/System32/qttask.exe
O4 - HKLM/../Run: [pccguide.exe] “C:/Programmer/Trend Micro/PC-cillin 2002/pccguide.exe”
O4 - HKLM/../Run: [PCCClient.exe] “C:/Programmer/Trend Micro/PC-cillin 2002/PCCClient.exe”
O4 - HKLM/../Run: [Pop3trap.exe] “C:/Programmer/Trend Micro/PC-cillin 2002/Pop3trap.exe”
O4 - HKLM/../Run: [NvCplDaemon] RUNDLL32.EXE C:/WINDOWS/System32/NvCpl.dll,NvStartup
O4 - HKLM/../Run: [nwiz] nwiz.exe /install
O4 - HKLM/../Run: [WinampAgent] “C:/Programmer/Winamp3/winampa.exe”
O4 - HKLM/../Run: [Tray Temperature] C:/Programmer/AWS/MiniBug.exe 1
O4 - HKLM/../Run: [InCD] C:/Programmer/Ahead/InCD/InCD.exe
O4 - HKLM/../Run: [MyWebSearch Email Plugin] C:/PROGRA~1/MYWEBS~1/bar/1.bin/mwsoemon.exe
O4 - HKLM/../Run: [zmb] C:/WINDOWS/zmb.exe
O4 - HKLM/../Run: [Services Process] C:/WINDOWS/system32/config/services.exe
O4 - HKLM/../Run: [CreateCD] C:/PROGRA~1/Adaptec/EASYCD~1/CreateCD/CreateCD.exe -r
O4 - HKCU/../Run: [CTFMON.EXE] C:/WINDOWS/System32/ctfmon.exe
O4 - HKCU/../Run: [PopUpStopperFreeEdition] “C:/PROGRA~1/PANICW~1/POP-UP~1/PSFREE.EXE”
O4 - HKCU/../Run: [MyWebSearch Email Plugin] C:/PROGRA~1/MYWEBS~1/bar/1.bin/mwsoemon.exe
O4 - Startup: Watch.lnk = C:/WINDOWS/twain_32/A4CIS/WATCH.exe
O4 - Startup: MyWebSearch Email Plugin.lnk = C:/Programmer/MyWebSearch/bar/1.bin/MWSOEMON.EXE
O4 - Global Startup: Microsoft Office.lnk = C:/Programmer/Microsoft Office/Office/OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:/Programmer/WinZip/WZQKPICK.EXE
O4 - Global Startup: HotKey.lnk = C:/Programmer/TEXTware/HotKey/Twalink.exe
O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:/Programmer/MyWebSearch/bar/1.bin/MWSOEMON.EXE
O4 - Global Startup: Slim 3000 Monitor.lnk = ?
O6 - HKCU/Software/Policies/Microsoft/Internet Explorer/Restrictions present
O6 - HKCU/Software/Policies/Microsoft/Internet Explorer/Control Panel present
O9 - Extra button: Expekt.com Poker (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra ‘Tools’ menuitem: ICQ (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra ‘Tools’ menuitem: Windows Messenger (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.msn.dk
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralInitialSetup1.0.0.8.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37358.4627893519
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Hej the_dude1983

Gå i Kontrolpanelet – Tilføj/fjern programmer og afinstaller: MyWebSearch (my bar) se hvad der ligger der.

Du skal nu til at i gang med at fixe. Først skal du slå systemgendannelse fra. Hvis du ikke ved, hvordan du gør det så kig her:  http://www.spywarefri.dk/virusscannere.htm#alle

Genstart din computer i fejlsikret tilstand. Du har nogle filer RO og R1 liggende, som har vist sig næsten umulige at komme af med igen, så det er bedst at tage dem herfra. For at komme i fejlsikret tilstand, kan du under genstart taste f8 og så vælge fejlsikret.

Kør en scanning med Hijackthis, så du kan se alle filer.
Du får herunder nogle filer, som du skal fixe. Det, du skal gøre, er at sætte en vinge ud for disse filer. Når du har gjort det, så lukker du alle andre vinduer ned. Det er meget vigtigt at det eneste vindue, som er åbent er HijackThis vinduet. Husk også at lukke dette vindue, når du har markeret filerne. Nu må du fixe. Klik på Fix checked. Efter fix skal du genstarte din computer.

Det er disse, som skal fixes:

R0 - HKCU/Software/Microsoft/Internet Explorer/Main,Start Page = http://jksearch.biz/redir.php
R1 - HKCU/Software/Microsoft/Internet Explorer/Main,Default_Page_URL = http://jksearch.biz/redir.php
R1 - HKCU/Software/Microsoft/Internet Explorer/Main,Default_Search_URL = about:blank
R0 - HKLM/Software/Microsoft/Internet Explorer/Main,Start Page = http://jksearch.biz/redir.php
R1 - HKLM/Software/Microsoft/Internet Explorer/Main,Default_Page_URL = http://jksearch.biz/redir.php
R0 - HKCU/Software/Microsoft/Internet Explorer/Main,Local Page = http://jksearch.biz/redir.php
R0 - HKLM/Software/Microsoft/Internet Explorer/Main,Local Page = http://jksearch.biz/redir.php
R3 - Default URLSearchHook is missing

O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:/Programmer/MyWebSearch/SrchAstt/1.bin/MWSSRCAS.DLL
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:/Programmer/MyWebSearch/bar/1.bin/MWSBAR.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:/Programmer/Spybot - Search & Destroy/SDHelper.dll (file missing)

O4 - HKLM/../Run: [QuickTime Task] C:/WINDOWS/System32/qttask.exe
O4 - HKLM/../Run: [MyWebSearch Email Plugin] C:/PROGRA~1/MYWEBS~1/bar/1.bin/mwsoemon.exe
O4 - HKLM/../Run: [zmb] C:/WINDOWS/zmb.exe
O4 - HKLM/../Run: [Services Process] C:/WINDOWS/system32/config/services.exe
O4 - HKCU/../Run: [MyWebSearch Email Plugin] C:/PROGRA~1/MYWEBS~1/bar/1.bin/mwsoemon.exe
O4 - Startup: MyWebSearch Email Plugin.lnk = C:/Programmer/MyWebSearch/bar/1.bin/MWSOEMON.EXE
O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:/Programmer/MyWebSearch/bar/1.bin/MWSOEMON.EXE

Er det dig selv som har foretaget restriktioner med enten Spybot eller Tweak prg. skal du ikke fjerne disse to06 polices, er det ikke dig, så skal de fjernes.
O6 - HKCU/Software/Policies/Microsoft/Internet Explorer/Restrictions present
O6 - HKCU/Software/Policies/Microsoft/Internet Explorer/Control Panel present

O14 - IERESET.INF: START_PAGE_URL=http://www.msn.dk

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralInitialSetup1.0.0.8.cab
—————————————————————————————————-
Dem her kan du også med fordel fixe. De forsvinder ikke, kun fra run, og her ligger de bare og sluger dine kræfter:

O4 - HKLM/../Run: [WinampAgent] “C:/Programmer/Winamp3/winampa.exe”
O4 - HKLM/../Run: [InCD] C:/Programmer/Ahead/InCD/InCD.exe
O4 - HKLM/../Run: [CreateCD] C:/PROGRA~1/Adaptec/EASYCD~1/CreateCD/CreateCD.exe -r
O4 - Global Startup: Microsoft Office.lnk = C:/Programmer/Microsoft Office/Office/OSA9.EXE
—————————————————————————————————-

For at kunne se alle filer og mapper, så følg denne vejledning:
Åbn en mappe, klik på Funktioner >Mappeindstillinger >Vis.
Fjern flueben ved “Skjul beskyttede operativsystemfiler”.
Fjern flueben ved “Skjul filtypenavne for kendte filtyper”.
Sæt prik i “Vis skjulte filer og mapper”.

Genstart i fejlsikret tilstand søg og slet det med fed:
C:/PROGRA~1/MYWEBS~1/bar/1.bin/mwsoemon.exe
C:/WINDOWS/zmb.exe
C:/WINDOWS/system32/config/services.exe

Genstart din computer.
Du skal også lige hente og installere programmet Ad-aware hvis du da ikke har det i forvejen. Opdater det straks efter installationen, og inden du kører en scanning med denne. Fjern alt hvad den finder. Programmet samt brugervejledning på dansk finder du her: http://www.spywarefri.dk/vaerktoj.htm#adaware

Genstart din computer, kør en ny scanning med HijackThis, kopier en ny log herind til tjek.

Og så vil jeg råde dig kraftigt til at hente og installere Sp1 til Windows og IE samt alle kritiske opdateringer her:
http://v4.windowsupdate.microsoft.com/da/default.asp

Havde du haft denne opdatering, så var du ikke ude i de problemer som du er nu.

De to øverste af filerne, der skulle slettes, kunne jeg ikke finde, men her er den nye log:

Logfile of HijackThis v1.97.7
Scan saved at 11:37:46, on 19-05-2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:/WINDOWS/System32/smss.exe
C:/WINDOWS/system32/winlogon.exe
C:/WINDOWS/system32/services.exe
C:/WINDOWS/system32/lsass.exe
C:/WINDOWS/system32/svchost.exe
C:/WINDOWS/System32/svchost.exe
C:/WINDOWS/system32/spoolsv.exe
C:/WINDOWS/System32/DRIVERS/CDANTSRV.EXE
C:/Programmer/Ahead/InCD/InCDsrv.exe
C:/WINDOWS/System32/nvsvc32.exe
C:/WINDOWS/system32/pctspk.exe
C:/WINDOWS/System32/svchost.exe
C:/Programmer/Trend Micro/PC-cillin 2002/Tmntsrv.exe
C:/Programmer/Trend Micro/PC-cillin 2002/PCCPFW.exe
C:/WINDOWS/Explorer.EXE
C:/Real/Player/realplay.exe
C:/Programmer/Trend Micro/PC-cillin 2002/pccguide.exe
C:/Programmer/Trend Micro/PC-cillin 2002/PCCClient.exe
C:/Programmer/Trend Micro/PC-cillin 2002/Pop3trap.exe
C:/WINDOWS/System32/ctfmon.exe
C:/PROGRA~1/PANICW~1/POP-UP~1/PSFREE.EXE
C:/Programmer/WinZip/WZQKPICK.EXE
C:/Programmer/TEXTware/HotKey/Twalink.exe
C:/Programmer/Slim 3000/ICON.EXE
C:/WINDOWS/twain_32/A4CIS/WATCH.exe
C:/WINDOWS/System32/wuauclt.exe
C:/Documents and Settings/Morten Ø. Hansen/Dokumenter/Installationssfiler/Hijackthis/HijackThis.exe

R0 - HKCU/Software/Microsoft/Internet Explorer/Main,Start Page = http://jksearch.biz/redir.php
R1 - HKCU/Software/Microsoft/Internet Explorer/Main,Default_Page_URL = http://jksearch.biz/redir.php
R0 - HKLM/Software/Microsoft/Internet Explorer/Main,Start Page = http://jksearch.biz/redir.php
R1 - HKLM/Software/Microsoft/Internet Explorer/Main,Default_Page_URL = http://jksearch.biz/redir.php
R0 - HKCU/Software/Microsoft/Internet Explorer/Main,Local Page = http://jksearch.biz/redir.php
R0 - HKLM/Software/Microsoft/Internet Explorer/Main,Local Page = http://jksearch.biz/redir.php
R0 - HKCU/Software/Microsoft/Internet Explorer/Toolbar,LinksFolderName = Hyperlinks
O3 - Toolbar: &Radio; - {8E718888-423F-11D2-876E-00A0C9082467} - C:/WINDOWS/System32/msdxm.ocx
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:/Programmer/MSN Toolbar/01.01.1601.0/da/msntb.dll
O4 - HKLM/../Run: [RealTray] C:/Real/Player/realplay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM/../Run: [pccguide.exe] “C:/Programmer/Trend Micro/PC-cillin 2002/pccguide.exe”
O4 - HKLM/../Run: [PCCClient.exe] “C:/Programmer/Trend Micro/PC-cillin 2002/PCCClient.exe”
O4 - HKLM/../Run: [Pop3trap.exe] “C:/Programmer/Trend Micro/PC-cillin 2002/Pop3trap.exe”
O4 - HKLM/../Run: [NvCplDaemon] RUNDLL32.EXE C:/WINDOWS/System32/NvCpl.dll,NvStartup
O4 - HKLM/../Run: [nwiz] nwiz.exe /install
O4 - HKLM/../Run: [Tray Temperature] C:/Programmer/AWS/MiniBug.exe 1
O4 - HKCU/../Run: [CTFMON.EXE] C:/WINDOWS/System32/ctfmon.exe
O4 - HKCU/../Run: [PopUpStopperFreeEdition] “C:/PROGRA~1/PANICW~1/POP-UP~1/PSFREE.EXE”
O4 - Startup: Watch.lnk = C:/WINDOWS/twain_32/A4CIS/WATCH.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:/Programmer/WinZip/WZQKPICK.EXE
O4 - Global Startup: HotKey.lnk = C:/Programmer/TEXTware/HotKey/Twalink.exe
O4 - Global Startup: Slim 3000 Monitor.lnk = ?
O9 - Extra button: Expekt.com Poker (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra ‘Tools’ menuitem: ICQ (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra ‘Tools’ menuitem: Windows Messenger (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37358.4627893519
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Hej the_dude1983

Disse filer ligger der stadig. Det er noget helt nyt som lige kom igår, og der er intet middel mod det endnu. Vi kæmper i øjeblikket på at finde en metode til at få det væk, og vender tilbage når vi ved mere.

I mellemtiden bør du få dit Windows opdateret, det har du god tid til at få gjort nu. Det er simpelthen ikke smart at køre uden denne opdatering, og det er næsten umuligt for os at rense jer hvis i ikke gør det.

Afvent til du hører nærmere fra os.

R0 - HKCU/Software/Microsoft/Internet Explorer/Main,Start Page = http://jksearch.biz/redir.php
R1 - HKCU/Software/Microsoft/Internet Explorer/Main,Default_Page_URL = http://jksearch.biz/redir.php
R0 - HKLM/Software/Microsoft/Internet Explorer/Main,Start Page = http://jksearch.biz/redir.php
R1 - HKLM/Software/Microsoft/Internet Explorer/Main,Default_Page_URL = http://jksearch.biz/redir.php
R0 - HKCU/Software/Microsoft/Internet Explorer/Main,Local Page = http://jksearch.biz/redir.php
R0 - HKLM/Software/Microsoft/Internet Explorer/Main,Local Page = http://jksearch.biz/redir.php

Aovergaard>>Kig lige herover, der lykkedes det tilsyneladende:
http://www.spywarefri.dk/forum/topic.asp?TOPIC_ID=3062

Hej the_dude1983

Det er lige lykkedes at få det væk i en anden log. Prøv ligesom han flere gange med denne metode. Jeg ved godt at vi har kørt denne en gang før, men prøv igen. Det skal kunne lykkedes.

1. Download og installer følgende programmer:

Reglite - http://www.resplendence.com/reglite
Adaware - http://www.lavasoft.de/support/download/
SpyBot S&D - http://www.safer-networking.org/index.php?lang=en&page=download

2. Download og pak følgende programmer ud til deres egne mapper:

CWShredder - http://www.spywareinfo.com/downloads/tools/CWShredder.exe
TheKillBox - http://home8.inet.tele.dk/fbj/TheKillBox.exe

3. Kør Reglite og skriv

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Windows//AppInit_DLLs

ind i “Adress” feltet, tryk <Enter>.

4. Dobbeltklik på AppInit_DLLs for at åbne “Data Editor”, hvis det nederste felt kaldet “Value” indeholder en .dll fil er det den vi leder efter.

5. Den kan ikke slettes endnu, skriv stien og navnet ned på et stykke papir, det skal bruges senere.

6. I venstre vindue, højreklik på mappen “Windows”(Den er fremhævet med lilla), vælg “Rename” og omdøb den til “Notwindows”.

7. Klik på AppInit_DLLs igen, slet værdien der indeholder .dll’en klik OK, så burde den være væk.

8. Omdøb “Notwindows” tilbage til “Windows”

9. Kør Spybot, Ad-aware og CWShredder, husk at opdatere online inden du kører programmet.

10. Nu er det tid til at slette den .dll fil.

11. Kør TheKillBox (skal være pakket ud til sin egen mappe). I tekstfeltet skriver du stien til den fil du skrev ned tidligere (eksempelvis c:/windows/system23/dllha.dll). Nu skal du vælge Action -> Delete on reboot. Nu dukker der et lille vindue op - vælg File -> Add file. Vælg Action -> Process and reboot

12. Genstart din PC i Fejlsikret tilstand (ved at taste F8 under opstart). Kør Spybot, Ad-aware og CWShredder igen. Genstart i Normal mode og læg en frisk HijackThis log herind.
______________________________________________

Hvis pkt. 11 ikke virker: Gå i Start -> Kør og skriv cmd og klik OK. Du er nu i et DOS-vindue. Skriv attrib -r “stien til filen du skal slette” (eksempelvis attrib -r c:/windows/system23/dllha.dll)

Gentag pkt. 11 - 12.