Prøv at omdøbe Hijackthis til Alternativ, se om du så kan.

Jeg downladede det med firefox,og omdøbte det.
Programet blir lukket med det samme jeg prøver at køre det.

Superantispyware fandt også lidt ting og sager.

Det jeg gjorde med firefox var at sige “save as”.
Hvis jeg bare trykker på linket til download,så lukker firefox også.

Jeg satte superantispyware til at scanne igen og den fandt en ny ting.
Efter genstart fortæller startupmonitor at “dmolx.exe” vil køres og ved næste genstart er det en “dmlin.exe” der vil køres.
Der er næsten ingen hits når jeg googler dem.
På et tidspunkt kan jeg godt downloade highjack på normal vis,men den er på 0 byte,og hvis jeg prøver at tage properties på den,går min computer kold,og skal genstartes eller resetes.
Det er sku lidt giftigt det her.

er der et andet program der kan gøre det samme som highjackthis.

I Zonealarms “alerts and logs” er der mange kald (destination dns)til noget der heder
“85.255.112.190-xbox.dedi.inhoster.com”  ip nummeret foran ændre sig.

Hej RLO

Det lyder unægtelig som om du har infektionen Wareout. Vi kører lige et fix mod det, så skulle du meget gerne efterfølgende kunne køre en scanning med hijackthis.

Under dette fix vil computeren blive genstartet, og du bør derfor printe vejledningen ud, for at have den ved din side under hele fixet. Fixet skal bruge adgang til internettet, så det skal du sikre dig, at der er.

1. Hent FixWareout fra et af disse links:

http://downloads.subratam.org/Fixwareout.exe
http://www.bleepingcomputer.com/files/lonny/Fixwareout.exe

2. Gem filen på dit Skrivebord og dobbeltklik på den. Klik Next -> Install og check, at der er et flueben i “Run fixit” - klik herefter på Finish. Fixet vil nu starte, og du skal blot følge instruktionerne. Du vil blive bedt om at genstarte din computer - gør venligst det. Genstarten vil tage lidt længere tid end normalt…

3. Når dit system genstarter skal du fortsat følge den vejledning, der gives på skærmen. Når fixet er færdigt vil der åbnes en log (report.txt), som du skal gemme og lægge herind i næste post.

4. Luk HJT og klik på OK for at fortsætte. Genstart din computer, og kopier indholdet af C:\fixwareout\report.txt herind sammen med en HijackThis log.

Her er report.txt

HJT vil stadig ikke køre.

Fixwareout ver 1.003
Last edited 8/11/2006
Post this report in the forums please

Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}BE730770087C-9A59-75B4-F

A4B-66381C17{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\nilmd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\0mdm
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\1mdm
...

Microsoft (R) Windows Script Host Version 5.6
Random Runs removed from HKLM
...

PLEASE NOTE, There WILL be LEGITIMATE FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE

THEM ALONE.

»»»»» Searching by size/names…
One or more CON code pages invalid for given keyboard code

»»»»»
Search five digit cs, dm and jb files.
This WILL/CAN also list Legit Files, Submit them at Virustotal
C:\WINDOWS\SYSTEM32\CSDFK.EXE     51,759 2006-10-11    

Other suspects.
Directory of C:\WINDOWS\system32

»»»»» Misc files.

»»»»» Checking for older varients covered by the Rem3 tool.

Det lyder ikke godt

Jeg kunne godt tænke mig at se en log fra catchme:
Download and kør catchme exe:
http://www.gmer.net/catchme.php

Når den har scannet færdig, luk programmet. Så ligger der en catchme log på skrivebordet, kopier den herind.

Lige et forslag !

Prøv om du kan hijackthis/hjt/alternativ exe med netstikket ude

Når jeg trykker på dit link lukker ie6 ned.

En underlig ting.Når jeg scanner “Registry files” med superantispyware, så dukker den 0 byte HIJACKTHIS.EXE
op på skrive bordet(med store bogstaver).Jeg har også en hjt exe ligende på skrivebordet,som er omdøbt til noget andet.
Jeg scannede flere gange og hver gang dukkede den nye 0byte hjt frem.(med et standart blå/hvidt win ikon.)
Jeg omdøbte min rigtige hjt til dens rigtige navn,også dukkede den nye ikke frem.gad vidst om den har lagt sig oven i den.
Det er det samme der sker når man exekvere den.Man ser lige et sekund af hjt vinduet også lukker den ned,og computeren får det dårligt.

Jeg rebotter lige og tjecker om det var et tilfælde med dit link.

jeg når lige at se et sekund af den gmer.net hjemmeside,gælder også med firefox.

Har akkurat samme problem som RLO….. Kan ikke køre Hijackthis/alternativ eller http://www.gmer.net/catchme.php....
Har haft Trojan Horse LOP.AH på computeren, men fjernede bare filen efter en opstart på knoppix…
Har scannet med Ewido, Avg Free Antivirus, Norton Antivirus, PAnda online, Trend micro online….

Jeg prøvede også at køre hjt uden netstik,samme resultat.
Jeg kan godt downloade en ny hijackthis.exe på 213kb hvis jeg siger save as og kalder den noget andet.
men når jeg klikker på den får jeg lige et sekund før den lukker igen.
Jeg kan ikke afinstallere min forrige hjt,det vil den ikke.Der var i øvrigt 2 installeret,den ene er væk nu.

Jeg kiggede lidt rundt på et spywareforum og så en tråd om et fake hjt site. pinned oppe i toppen
http://forums.spywareinfo.com/index.php?showforum=25
Men jeg kan ikke kigge ind i det så lukker explore ned.

Jeg kan ikke huske,er hjt bare en exe,eller blir den installeret.I add/remowe programs var der som sagt 2 og den ene fyldte såvidt jeg husker 2.9mb.den der er tilbage og som ikke kan fjernes har ingen værdi på størelsen.

Vi prøver lige noget andet -

Kopiér indholdet mellem de stiplede linier, ind i et notepad-vindue, og gem indholdet på skrivebordet. Når du gemmer filen, skal du kalde den visappinit.bat, og du skal sikre dig, at der under “Filtyper” står “Alle filer”:

——————
reg save “HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows” applook.hiv
ren applook.hiv applook.txt
start notepad applook.txt
——————
Dobbeltklik herefter på visappinit.bat. Efter kort tid vil et nyt notepad-vindue åbnes med en logfil (det meste vil være krims-krams). Læg denne fil herind.

Det er meget krims/krams.Jeg kan vidst ikke vedhæfte filer.

Nu prøver jeg at paste det ind.

regf                                                                   jÿt$Pè9 ƒÄË@H‹L$¶HƒàÃè¿ ‹@d;ô§Åwtè|\ ƒx(~h ÿt$Pèü  ƒÄË@H‹L$·H%  ÃèÞ¾ ‹@d;ô§Åwtè=\ ƒx(~hW ÿt$Pè½  ƒÄË@H‹L$·H%W Ã蟾 ‹@d;ô§Åwtèþ[ ƒx(~h ÿt$Pè~  ƒÄË@H‹L$·H%  Ãè`¾ ‹@d;ô§Åwtè¿[ ƒx(~j ÿt$PèB ƒÄË@H‹L$¶Hƒà Ã�|$€  À÷ØËD$ƒàÃÿt$èKýÿÿ…ÀYuƒ|$_tÃ3À@Ãÿt$èÑþÿÿ…ÀYuƒ|$_tÃ3À@ÃV‹t$…öu3À^ÃWèϽ ‹xd;=ô§Åwtè.[ ‹øƒ(¶[ÌH~                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      hbin     ÿÿ 3     3     ¨ÿÿÿnk, <¦æoJÒÆ  ÿÿÿÿ      ÿÿÿÿÿÿÿÿ  @  x   ÿÿÿÿ      0   @  t E   Windows Èþÿÿsk x   x       ”        ì
            ! 
  €      !          # 
  €      #    ?         
            ?       
          ?         
                        ð¿Øÿÿÿvk @  Ø    fùAppInit_DLLsÖ�æG¸ÿÿÿ\ \ ? \ C : \ WINDOW S \ S y s t e m 3 2 \ c o n . t o m   e l   °  Ðÿÿÿvk   X     ÀUDeviceNotSelectedTimeoutðÿÿÿ1 5   @ ðÿÿÿ9 0   �¸| Ðÿÿÿvk   €’    zGDIProcessHandleQuota”þàÿÿÿvk   È    °ºSpooler2ðÿÿÿy e s   Èn   °  (  x ¨  ð  àÿÿÿvk   €      =pswapdiskÐÿÿÿvk   h     R¿TransmissionRetryTimeoutàÿÿÿ°  (  x ¨  ð  `  Ðÿÿÿvk   €’    u USERProcessHandleQuotaAcp TŤ<ß-©®šB ¶?RbSQ©<zQ}<¸r ¿S?Œ‰‹<uËoë[£ _/:>÷ìš<ª¹h1‡Ô �æDAoŠ<ÖŒbˆ; ”¨¨ãýŽ–<8bunz8 òç˜+G€<Ý|âeEk 1« má÷‚<áÞõ�ž ³
r‚7‹<ä¦…Ò ¶«°MuMƒ<·1
þ JøÓ]9Ý�<ÿd²< )}ÌŒ/¡<Ê©:7§q ‹^‹s)Ò§<öŸå4Û§ mL*§HŸ…<“4L¦Þ ’�%F¸¨<).÷!
¬Â`ícC<-‰a`N y¡ÚáÌn<Ð<Áµ¢† °¯z»Î�v<’*6ÕÚ¿  *(›Ìƒ <¦,�v²ù çªÁ° ¥<�O�V+4 Ž×ý5“<Ú’µ6Go Tâác�<)THÝ« 5Àd+æ2”<H!­oç
Œð™„ <„U:°~$ Üs ‡ð™<$“U‚8b qU 
M�™<Ì;fž  †GΆ¹+¥<.e<²ß «
o ’ £<s_ìèu ¦§Ž“a <ÈgBVë_ †ŸF¬D¢<†ës¡ UlÖ«áëe<bNÏ6óâ Ðgÿ»Ÿþ–<ÎL™‰% ßÈ•<ì’D›Ùh ´êðÁ/·�<Û *Bå¬ D_óYƒö{<6w™®ñ <(œº`£<äÅÍ°77 ªbù Ñè•<ONÞŸ‚}  ‘Α+ü¯q<�𣂑Ġ ½.šX4m›<då]{f
€˜¸š|’•<\%>²U
³Zsn„i„<¿ýyUkž
‡3Ë’wŒ<­ÓZ™Ÿè
–-Üf$¢<úO¸¢3 ®•±.¡<F^ûòv ÍÝ_
×ÿt<ÒÁK�Ì ³¯0®ns<œR…Ý› ¬Y Ñ�à„<KÑW.ñg h’l,kg<i�ïÜ · ³™ß6 p“<{‰J-
§=¦…£t<‡¤ûÜX
¬’ÁÕPZŽ<…2Ûæ©
’—Js»˜<^›{3—ü
Óˆ:`¶t<ö?‹ç.P &I ’‘o‘<Ù�¤¢¯¤  ªA¼ÃŽ<‘Zaîú î…Ñ1©dŠ<@En[vP �Í‘M;‰w<Ø�ž�Á§    ð?    ï9úþB.†@  ×½2b     ð      ÿÿÿÿÿÿï      0<  0<ÊdWÊdWÿÿÿÿÿÿ ÿÿÿÿÿÿ øÿÿÿÿ�Bøÿÿÿÿ�B àÿÿÿÿ  àÿÿÿÿ 8úþB.æ?0gÇ“Wó.=      ÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿ          ð?    ð?              0C     0C     ðÿ    ð    ð    ðUÅ
˜IÂ? ÿÿÿÏ¿u}ÕMÅUÅ¿§UUUUUÕ?Sz†˜™™É?    à¿    ð?    ð?    ‚ï?    ‚ï?    ï?    ï?    ’î?    ’î?    î?    î?    ®í?    ®í?    Bí?    Bí?    Øì?    Øì?    rì?    rì?    ì?    ì?    ¬ë?    ¬ë?    Në?    Në?    òê?    òê?    ˜ê?    ˜ê?    Bê?    Bê?    ìé?    ìé?    šé?    šé?    Hé?    Hé?    úè?    úè?    ¬è?    ¬è?    bè?    bè?    è?    è?    Ðç?    Ðç?    Šç?    Šç?    Fç?    Fç?    ç?    ç?    Âæ?    Âæ?    ‚æ?    ‚æ?    Bæ?    Bæ?    æ?    æ?    Êå?    Êå?    Žå?    Žå?    Vå?    Vå?    å?    å?    æä?    æä?    °ä?    °ä?    zä?    zä?    Fä?    Fä?    ä?    ä?    âã?    âã?    ²ã?    ²ã?    ‚ã?    ‚ã?    Rã?    Rã?    $ã?    $ã?    öâ?    öâ?    Êâ?    Êâ?    žâ?    žâ?    tâ?    tâ?    Jâ?    Jâ?    â?    â?    øá?    øá?    Ðá?    Ðá?    ¨á?    ¨á?    ‚á?    ‚á?    \á?    \á?    6á?    6á?    á?    á?    ìà?    ìà?    Êà?    Êà?    ¦à?    ¦à?    „à?    „à?    bà?    bà?    Bà?    Bà?    à?    à?    à?    à?            <±¨¾�?N~±’ÉÞ<  x›zŸ?×ç’Ù*$=  Â#Ùf§?Á$/¨ð= @Á0¯?@AºS†¨1= Àc›E³?ÐPaÓB== `ŒRï¶?Dj0Q:W$= ÀÊ>m•º?¯ÄLyc>= à*p%¾?ÜîÖ?C;0= €Ô|ž×À?äIx„”´<= ``Ó™Â?ÙÜy M== €or‹OÄ?´›+C¤ö==  çv°Æ?åÈßÔ×R1= PQ °Ç?£æÓ€b= @ šPÉ?Æ5M[g?= ÐV‰öÊ?d+ºë[7= €šË÷�Ì?nŽõBî>=  kz‡*Î?‡w�#8= 0înØ·Ï?Cû#Ï7= °{é¥Ð?Diæ”00= ˜Ë®fÑ?‹j -= xïû�)Ò?™ü©}z¯=  á¼âéÒ?Â�0$= H»V§Ó?ƒ„¨µoÄ= XœÂaÔ?ÇÍ;ƒM_8= @“Õ?Žœ
¢ú°5= ðŸÄÐÕ?Ó^úŒ«@’= øL$…Ö?ñ‹ø/r(= Ü <×?ÀvT÷Û 3= ˜¤?ˆé×?‰òCgù¯?= 0‰ŠÓ˜Ø?W/fö1= `(JÙ?DkŒ°¼ç0= h¿ô#ñÙ?@ò ‰6= €Û«ü™Ú?£‡_œè= ˆ|—DÛ?Û&µ?4j<= ‘žÍêÛ?Q›‡ÛnŠ&= »Ö·’Ü?Âl‡ÿŸþ= €Ã�6Ý?ÖDXÛ,4= ÀáªÔÝ?ýð-QØ2= ˆxbÒtÞ?¼W”íE¹þ< °.lß?Øó7�wÎ,= ˜šœÈ¬ß?lÇ
>= ÐÉ¥‚%à?Œá˜Nl,”= Ü@\rà?¾?° tâ8= 85çR¿à?Ó‡Óœ‰µ= L.žë á?ç>)gÚ= Ô¸Ó3Uá?ÃÓ°¨˜== ¤º¶�á?h¢¤…Xg+= øogßæá?ªƒ¹�ºX= ¼¾Ø°0â?{fHnü= <Éžwâ?y›5s3R6= „ù)¿â?ì·Óa8Šý< O4Wã?4ðbVè›0= €•¨€Lã?½4¬ü“@= ÌåÝ@’ã?³X·êÛ“4= TkšØã?>¨_ÍÇ(=  †ôÏä?„*¹Öo= Ü@Ï[cä?­ÊÔÕè,=

Det hjt der var synligt i add/remowe programs er væk nu.