Hej Per og kollegaer,
Efter at ha brugt Spybot og Ad-aware er jeg fortsat med Hijackthis og har nu en logliste fra scanningen som det er virkeligt godt hvis I kunne kigge efter for at jeg ikke sletter noget fatalt. Problemet er at min hjemmeside tvinges bort fra den side jeg har valgt og at nogle snuskede links som jeg ikke ved hvor kommer fra hele tiden kommer tilbage i mine favorites selv om jeg sletter dem. Mit Norton program som jeg har hentet i en kort testperiode er heller ikke i stand til at klare problemet, og siger blot “attempt to connect to local computer using the backdoor/Sub Seven Trojan horse detected’. Den siger da at programmet et blevet blokeret, men jeg vil meget gerne helt a med det
Min mistanke er at de her er specielt slemme:http://66.250.130.200/main/sp.php http://66.250.130.200/main/sp.php http://66.250.130.200/main/sp.php http://66.250.130.200/main/hp.php http://66.250.130.200/main/sp.php
Den her siger HijackThis heller ikke er go:
Men de kommer tilbage selv om jeg “fixer” dem med HijackThis.
Her er hele logen.
Mange tak!
Logfile of HijackThis v1.97.7
Running processes:
R1 - HKCU/Software/Microsoft/Internet Explorer,SearchURL = http://66.250.130.200/main/sp.php http://66.250.130.200/main/sp.php http://66.250.130.200/main/sp.php http://66.250.130.200/main/hp.php http://66.250.130.200/main/sp.php http://www.toshiba.com http://www.sharempeg.com/find/ http://www.sharempeg.com/find/ http://download.microsoft.com/download/0/5/c/05c905f4-dd30-427d-a3de-373c3e5552fc/msSecAdv.cab?1074451698987 http://office.microsoft.com/officeupdate/content/opuc.cab http://download-ak.internetwasher.com/iwasher/pptproactauthakamai/internetwasherpro.cab http://www3.ca.com/virusinfo/webscan.cab http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38004.3227546296 http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Redaktør
Antal indlæg: 25535
Hej Frank og velkommen til Spywarefri.
Nu skal vi tjekke din log. Vender tilbage med svar til dig.
Redaktør
Antal indlæg: 25535
Så er jeg her igen
Hent cwsschredder her: http://www.spywareinfo.com/~merijn/junk/CWShredder.exe
Ny logfil. For der ligger flere ting i den log som skal væk.
Mange tak for tippet om brugen af CWShedder. Her kommer den nye log. Lad mig endelig vide hvis der er mer som jeg burde slette.
Logfile of HijackThis v1.97.7
Running processes:
R1 - HKLM/Software/Microsoft/Internet Explorer/Main,Default_Page_URL = http://www.toshiba.com http://download.microsoft.com/download/0/5/c/05c905f4-dd30-427d-a3de-373c3e5552fc/msSecAdv.cab?1074451698987 http://office.microsoft.com/officeupdate/content/opuc.cab http://download-ak.internetwasher.com/iwasher/pptproactauthakamai/internetwasherpro.cab http://www3.ca.com/virusinfo/webscan.cab http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38004.3227546296 http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Redaktør
Antal indlæg: 25535
Hej igen
Ja det hjalp jo lidt på det, men som jeg også fortalte så ligger der en del mere som også skal renses ud i.
Jeg vælger at tage det hele fra fejlsikret tilstand, så du skal lige genstarte din computer i fejlsikret tilstand.
Du skal nu til at i gang med at fixe. Først skal du slå systemgendannelse fra. Hvis du ikke ved, hvordan du gør det så kig her: http://spywarefri.dk/virusscannere.htm#alle
Det er disse, som skal fixes:
O2 - BHO: Httper - {A5483501-070C-41DD-AF44-9BD8864B3015} - C:/Program Files/Httper/httper.dll
O4 - HKLM/../Run: [TkBellExe] C:/Program Files/Common Files/Real/Update_OB/realsched.exe -osboot
O9 - Extra button: Real.com (HKLM)
O16 - DPF: {421A63BA-4632-43E0-A942-3B4AB645BE51} - http://download-ak.internetwasher.com/iwasher/pptproactauthakamai/internetwasherpro.cab
O17 - HKLM/System/CCS/Services/Tcpip/../{396F1FDD-DC71-4D35-ABB3-F3C596B4FEA7}: NameServer = 205.188.146.146
Tjek også lige at den ikke ligger i tilføj/fjern prg. for så skal den også væk herfra.
Genstart og kopier en ny log herind
Hej igen
Tak for tipsene!
Jeg fik sletter det meste men dog ikke alt tilsyneladende. Der var nogle som I pegede ud som jeg ikke kunne finde i loggen. Det drejer sig om disse her:
O4 - HKCU/../Run: [RDCURNVAW] C:/WINDOWS/XDNURQBP.exe
Det du skrev videre var ikke helt klart for mig. Jeg hunne ikke finde disse her filer:
Dem her :has valid reverse DNS of VTOT.proxy.aol.com – kan du godkende de tellers skal de også fixes
Fandt tilsidst heller ikke de her i loggen:
O17 - HKLM/System/CCS/Services/Tcpip/../{396F1FDD-DC71-4D35-ABB3-F3C596B4FEA7}: NameServer = 205.188.146.146
Her kommer den nye log ind til jer:
Logfile of HijackThis v1.97.7
Running processes:
R0 - HKCU/Software/Microsoft/Internet Explorer/Main,Start Page = http://www.toshiba.com/ http://www.toshiba.com http://download.microsoft.com/download/0/5/c/05c905f4-dd30-427d-a3de-373c3e5552fc/msSecAdv.cab?1074451698987 http://office.microsoft.com/officeupdate/content/opuc.cab http://www3.ca.com/virusinfo/webscan.cab http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38004.3227546296 http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Igen tak
Redaktør
Antal indlæg: 25535
Hej Frank
Det pyntede på det, men der er stadig noget tilbage.
Jeg kan godt forstå du ikke kunne finde den fil der, for den har nemlig lavet sig selv om. Før var der også en som ikke blev vist i din log, men det gør den heldigvis nu, så jeg kan fixe den. Jeg tror at det er derfor den anden fil har lavet sig om. Men nu tager vi forhåbentlig lige de sidste 3 filer i et hug.
Du skal i fejlsikret tilstand.
Gå i start - kør - skriv: msconfig tast enter - fanebladet start. Find og fjern vingen til venstre for disse filer:
C:/Program Files/System Soap Pro/soap.exe min
Kør Hijackthis og fix de to filer:
Gå bagefter i tilføj/fjern prg. og se om der ligger noget som helst omkring især soap så skal det væk
Genstart og så kopier en ny log herind igen til forhåbentlig sidste tjek.
Hej igen!
Det ser ud til at du har ret—filerne laver sig om og er ikke til at finde umiddelbart:-(.
1. Kunne ikke finde C:/WINDOWS/TURXW.exe
Mon det nu er den her:
O4 - HKCU/../Run: [UUPNEWLTMAET] C:/WINDOWS/NSRWPPOOBWO.exe
2. Har fixet
men ikke
Skal denne mappe totalt fjernes:
Jeg anskaffede System Soap Pro for nyligt (men det har problemer med at køre igennem…) mn det skaber altså problemer?
3. Der er igen forsøg paa at hijacke min hjemmeside:http://super-spider.com/greg/sp.php http://super-spider.com/greg/sp.php http://super-spider.com/greg/sp.php
4. Her kommer ny log.
Logfile of HijackThis v1.97.7
Running processes:
R1 - HKCU/Software/Microsoft/Internet Explorer,SearchURL = http://super-spider.com/greg/sp.php http://super-spider.com/greg/sp.php http://super-spider.com/greg/sp.php http://www.toshiba.com/ http://super-spider.com/greg/sp.php http://www.toshiba.com/ http://www.toshiba.com http://download.microsoft.com/download/0/5/c/05c905f4-dd30-427d-a3de-373c3e5552fc/msSecAdv.cab?1074451698987 http://office.microsoft.com/officeupdate/content/opuc.cab http://www3.ca.com/virusinfo/webscan.cab http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38004.3227546296 http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Redaktør
Antal indlæg: 25535
Der findes to Soap og Soap pro. Hvis du har købt og betalt den, så skulle den være ok, hvor den anden er en grim en.
Kan du ikke få den til at køre, så afinstaller den via start programmer. Du kan så altid når du er helt ren geninstallere det prg.
Du skal fixe alt fra fejlsikret tilstand denne gang. Bliv i fejlsikret tilstand og tag en ny log, for ellers laver det sig om igen. Så vidt det er muligt må du slet ikke genstarte din computer før du er sikker på at den fil er væk.
http://super-spider.com/greg/sp.php http://super-spider.com/greg/sp.php http://super-spider.com/greg/sp.php http://super-spider.com/greg/sp.php
Gå i start - kør - skriv: msconfig find denne her og fjern vingen ud for den. Derefter fixer du den. Og så kan den jo godt have lavet sig om en gang til, så jeg vil råde dig til at printe din log ud som den ser ud nu, sammenligne med den her log, som er næsten ren bortset fra dem herover. Ligger der så andre filer end disse i den nye log, så skal du også fixe den eller dem. Tag dem først i msconfig, og fix dem derefter. Alt sammen skal foregå fra fejlsikret tilstand.
Redaktør
Antal indlæg: 25535
Ud fra denne side:http://www.sysinfo.org/startuplist.php?filter=URLLSTCK.exe&count;=&type;=
O4 - HKLM/../Run: [URLLSTCK.exe] C:/Program Files/Norton Internet Security/UrlLstCk.exe
Redaktør
Antal indlæg: 21397
Hej Frank
Vedr. System Soap Pro så skaber det problemer på næsten enhver computer. Jeg er godt klar over du har købt det, men det er altså ofte et meget problematisk program. Det er et agressivt program og det kører som om det virker, men spørgsmålet er om det gør det. Blot min private mening.
Signatur
“Kræften er mit livs sværeste kamp. Jeg vil håbe, for håbet dør aldrig. Jeg vil kæmpe, for selv en svag kamp er bedre end ingen kamp.”
Hej!
Synes som om det meste er forsvundet. Men ikke alt.
Jeg spekulerer om f.ex ikke den her burde blive slettet
O4 - HKCU/../Run: [SEWGJKRLPL] C:/WINDOWS/WPYVUUPSP.exe
Jeg fixede den men den kommer tilsyneladende tilbage—bare under et andet navn—efter genstart. Jeg har fulgt instruktionen for brug i fejlsikret tilstand, men det ka være at jeg ikke går helt rigtigt frem.
Igen mange tak!
Her kommer logen:
Logfile of HijackThis v1.97.7
Running processes:
R0 - HKCU/Software/Microsoft/Internet Explorer/Main,Start Page = http://www.toshiba.com/ http://www.toshiba.com/ http://www.toshiba.com http://download.microsoft.com/download/0/5/c/05c905f4-dd30-427d-a3de-373c3e5552fc/msSecAdv.cab?1074451698987 http://office.microsoft.com/officeupdate/content/opuc.cab http://www3.ca.com/virusinfo/webscan.cab http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38004.3227546296 http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Redaktør
Antal indlæg: 25535
Hej Frank
Nu har jeg siddet og stirret mig blind på din log de sidste par timer.
Du går i fejlsikret tilstand
Gå i msconfig og fanebladet start og fjern flueben ud for denne fil: C:/WINDOWS/WPYVUUPSP.exe
Kør hijackthis og fix den samme fil
Gå i tilføj/fjern prg. for at se om den ligger der, hvis den gør, så afinstaller den.
Søg på filen og fjern alt hvad du måtte finde på den.
Find og fjern denne fil, den hører til Me udgaven, ikke til din Xp udgavewuauclt.exe
Lad være med at genstarte. Kør en ny hijackthis
Bliver den ved med at lave sig om, så prøver vi at afinstallere dit Norton. Så skal du hente dette prg. som kan fjerne det totalt fra din computer. http://service1.symantec.com/SUPPORT/nav.nsf/8d071816eedd7cac88256c0e005a96e5/33497f6e8a319ece88256ace0076cc02?OpenDocument&sone=nav_2003_tasks.html&stg=3&prod=Norton AntiVirus&ver=2003 for Windows 2000/Me/98/XP&base=http://www.symantec.com/techsupp/nav/&next=nav_2003_contact_tscs_solve.html&src=sg&pcode=nav&svy;=
Gå derefter i regedit og se om der skulle ligge nogle rester.
Gå i Rediger
Bliv i fejlsikret tilstand. Jeg vil se en log fra dig, som er taget fra fejlsikert tilstand. Pøj pøj og godnat herfra
Hej,
Jeg kommer tilbage med loggen—for forhåbentligt sidste gang—så snart jeg kan. Igen mange tak, Frank
Hej igen,
Her kommer loggen. Det ser vist godt nok ud nu, eller hva. Ihvertfald er der ingen C:/windows/en-eller-anden-kombination af >8 storebogstaver med .exe til sidst. Men tjek ik’?
Kunne ikke slette Norton Anti Virus 2004. Programmet er helt nyt og der ikke noget sletteprogram.
Ved sletningen af System Soap Pro blev jeg spurgt om jeg vil beholde C:/windows/system32/msinet.ocx og C:/windows/system32/ntsvc.ocx. De er ikke slettet endnu, men skal de slettes, eller bruges de til noget?
Igen, igen tak! Og ha en go weekend
Running processes:
R0 - HKCU/Software/Microsoft/Internet Explorer/Main,Start Page = http://www.toshiba.com/ http://www.toshiba.com/ http://www.toshiba.com http://download.microsoft.com/download/0/5/c/05c905f4-dd30-427d-a3de-373c3e5552fc/msSecAdv.cab?1074451698987 http://office.microsoft.com/officeupdate/content/opuc.cab http://www3.ca.com/virusinfo/webscan.cab http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38004.3227546296 http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Redaktør
Antal indlæg: 25535
Hej Frank
TILLYKKE TILLYKKE endelig lykkedes det. Din log er Clean.
For at sikre din pc fremover ville det være en god idé at bruge nogle af programmerne fra vores lille pakke som du kan se her:http://www.spywarefri.dk/pakken.htm
Pøj pøj for fremtiden.
