Oprettet ons. d. 23. marts 2005 kl. 08:55:11

kewin
kewin (17.745 point. Point ude: 60)


Hvem kan hjælpe med at fjerne giftig AboutBlank virus

Hej!
Har forsøgt alt de sidste mange uger, når Internet explorer startes , starter Rundll32 (AboutBlank) start side.Jeg har kørt Spy-sweeper spybot, Ad Aware se , AVG free, Noadware ect. uden resultat.Det så ud som det blev fixet noget, men nu er den tilbage med fuld kraft.Jeg har instal. windows 98. Jeg er langt fra ekspert derfor beder jeg om hjælp.Har forsøgt i blinde at finde fil og har slettet meget !!!!!Logfile Created on:7. marts 2005 09:34:51
Created with Ad-Aware SE Personal, free for private use.
Using definitions file:SE1R15 26.10.2004
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

References detected during the scan:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
CoolWebSearch(TAC index:10):11 total references
MRU List(TAC index:0):32 total references
Possible Browser Hijack attempt(TAC index:3):1 total references
Tracking Cookie(TAC index:3):4 total references
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ad-Aware SE Settings
===========================
Set : Search for negligible risk entries
Set : Safe mode (always request confirmation)
Set : Scan active processes
Set : Scan registry
Set : Deep-scan registry
Set : Scan my IE Favorites for banned URLs
Set : Scan my Hosts file

Extended Ad-Aware SE Settings
===========================
Set : Unload recognized processes & modules during scan
Set : Scan registry for all users instead of current user only
Set : Always try to unload modules before deletion
Set : Let Windows remove files in use at next reboot
Set : Delete quarantined objects after restoring
Set : Include basic Ad-Aware settings in log file
Set : Include additional Ad-Aware settings in log file
Set : Include reference summary in log file
Set : Include alternate data stream details in log file
Set : Play sound at scan completion if scan locates critical objects


07-03-05 09:34:51 - Scan started. (Full System Scan)

MRU List Object Recognized!
    Location:          : .DEFAULT\software\nico mak computing\winzip\filemenu
    Description        : winzip recently used archives


MRU List Object Recognized!
    Location:          : .DEFAULT\software\microsoft\windows\currentversion\applets\wordpad\recent file list
    Description        : list of recent files opened using wordpad


MRU List Object Recognized!
    Location:          : .DEFAULT\software\microsoft\windows\currentversion\applets\paint\recent file list
    Description        : list of files recently opened using microsoft paint


MRU List Object Recognized!
    Location:          : .DEFAULT\software\microsoft\windows\currentversion\explorer\runmru
    Description        : mru list for items opened in start | run


MRU List Object Recognized!
    Location:          : .DEFAULT\software\microsoft\office\9.0\excel\recent files
    Description        : list of recent files used by microsoft excel


MRU List Object Recognized!
    Location:          : .DEFAULT\software\microsoft\office\9.0\publisher\recent file list
    Description        : list of recent files used by microsoft publisher


MRU List Object Recognized!
    Location:          : .DEFAULT\software\microsoft\office\9.0\powerpoint\recent file list
    Description        : list of recent files used by microsoft powerpoint


MRU List Object Recognized!
    Location:          : .DEFAULT\software\microsoft\mediaplayer\player\recentfilelist
    Description        : list of recently used files in microsoft windows media player


MRU List Object Recognized!
    Location:          : .DEFAULT\software\microsoft\internet explorer\main
    Description        : last save directory used in microsoft internet explorer


MRU List Object Recognized!
    Location:          : .DEFAULT\software\realnetworks\realplayer\6.0\preferences
    Description        : list of recent skins in realplayer


MRU List Object Recognized!
    Location:          : .DEFAULT\software\microsoft\internet explorer
    Description        : last download directory used in microsoft internet explorer


MRU List Object Recognized!
    Location:          : .DEFAULT\software\microsoft\outlook express\recent stationery list
    Description        : list of recently used stationery in microsoft outlook express


MRU List Object Recognized!
    Location:          : software\microsoft\directdraw\mostrecentapplication
    Description        : most recent application to use microsoft directdraw


MRU List Object Recognized!
    Location:          : .DEFAULT\software\microsoft\mediaplayer\player\settings
    Description        : last save as directory used in jasc paint shop pro


MRU List Object Recognized!
    Location:          : .DEFAULT\software\microsoft\internet explorer\typedurls
    Description        : list of recently entered addresses in microsoft internet explorer


MRU List Object Recognized!
    Location:          : .DEFAULT\software\adobe\acrobat reader\5.0\avgeneral\crecentfiles
    Description        : list of recently used files in adobe reader


MRU List Object Recognized!
    Location:          : .DEFAULT\software\microsoft\directinput\mostrecentapplication
    Description        : most recent application to use microsoft directinput


MRU List Object Recognized!
    Location:          : .DEFAULT\software\microsoft\mediaplayer\player\settings
    Description        : last open directory used in jasc paint shop pro


MRU List Object Recognized!
    Location:          : .DEFAULT\software\microsoft\direct3d\mostrecentapplication
    Description        : most recent application to use microsoft direct3d


MRU List Object Recognized!
    Location:          : software\microsoft\direct3d\mostrecentapplication
    Description        : most recent application to use microsoft direct3d


MRU List Object Recognized!
    Location:          : .DEFAULT\software\realnetworks\realplayer\6.0\preferences
    Description        : list of recent clips in realplayer


MRU List Object Recognized!
    Location:          : .DEFAULT\software\microsoft\frontpage\explorer\frontpage explorer\recent web list
    Description        : list of recently used webs in microsoft frontpage


MRU List Object Recognized!
    Location:          : .DEFAULT\software\microsoft\directinput\mostrecentapplication
    Description        : most recent application to use microsoft directinput


MRU List Object Recognized!
    Location:          : .DEFAULT\software\microsoft\mediaplayer\preferences
    Description        : last playlist loaded in microsoft windows media player


MRU List Object Recognized!
    Location:          : .DEFAULT\software\microsoft\clipart gallery\2.0\mrudescription
    Description        : most recently used description in microsoft clipart gallery


MRU List Object Recognized!
    Location:          : .DEFAULT\software\realnetworks\realplayer\6.0\preferences
    Description        : last login time in realplayer


MRU List Object Recognized!
    Location:          : .DEFAULT\software\microsoft\frontpage\explorer\frontpage explorer\recent file list
    Description        : list of recently used files in microsoft frontpage


MRU List Object Recognized!
    Location:          : .DEFAULT\software\microsoft\windows\currentversion\explorer\findcomputermru
    Description        : list of recently used search terms for locating computers using the microsoft windows operating system


MRU List Object Recognized!
    Location:          : .DEFAULT\software\microsoft\windows\currentversion\explorer\doc find spec mru
    Description        : list of recently used search terms for locating files using the microsoft windows operating system


MRU List Object Recognized!
    Location:          : .DEFAULT\software\microsoft\direct3d\mostrecentapplication
    Description        : most recent application to use microsoft direct X


MRU List Object Recognized!
    Location:          : software\microsoft\direct3d\mostrecentapplication
    Description        : most recent application to use microsoft direct X


MRU List Object Recognized!
    Location:          : .DEFAULT\software\microsoft\windows media\wmsdk\general
    Description        : windows media sdk


Listing running processes
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

#:1 [KERNEL32.DLL]
    FilePath          : C:\WINDOWS\SYSTEM\
    ProcessID          : 4293865693
    Threads            : 6
    Priority          : High
    FileVersion        : 4.10.1998
    ProductVersion    : 4.10.1998
    ProductName        : Microsoft(R) Windows(R) Operativsystem
    CompanyName        : Microsoft Corporation
    FileDescription    : Win32 Kernel-hovedkomponent
    InternalName      : KERNEL32
    LegalCopyright    : Copyright (C) Microsoft Corp. 1991-1998
    OriginalFilename  : KERNEL32.DLL

#:2 [MSGSRV32.EXE]
    FilePath          : C:\WINDOWS\SYSTEM\
    ProcessID          : 4294962593
    Threads            : 1
    Priority          : Normal
    FileVersion        : 4.10.1998
    ProductVersion    : 4.10.1998
    ProductName        : Microsoft(R) Windows(R) Operativsystem
    CompanyName        : Microsoft Corporation
    FileDescription    : Windows 32-bit VxD-meddelelsesserver
    InternalName      : MSGSRV32
    LegalCopyright    : Copyright (C) Microsoft Corp. 1992-1998
    OriginalFilename  : MSGSRV32.EXE

#:3 [MPREXE.EXE]
    FilePath          : C:\WINDOWS\SYSTEM\
    ProcessID          : 4294966033
    Threads            : 2
    Priority          : Normal
    FileVersion        : 4.10.1998
    ProductVersion    : 4.10.1998
    ProductName        : Microsoft(R) Windows(R) Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : WIN32 Network Interface Service Process
    InternalName      : MPREXE
    LegalCopyright    : Copyright (C) Microsoft Corp. 1993-1998
    OriginalFilename  : MPREXE.EXE

#:4 [MSTASK.EXE]
    FilePath          : C:\WINDOWS\SYSTEM\
    ProcessID          : 4294866301
    Threads            : 3
    Priority          : Normal
    FileVersion        : 4.71.1959.1
    ProductVersion    : 4.71.1959.1
    ProductName        : Microsoft® Windows® Opgavestyring
    CompanyName        : Microsoft Corporation
    FileDescription    : Programmet Opgavestyring
    InternalName      : TaskScheduler
    LegalCopyright    : Copyright (C) Microsoft Corp. 1997
    OriginalFilename  : mstask.exe

#:5 [CCEVTMGR.EXE]
    FilePath          : C:\PROGRAMMER\FæLLES FILER\SYMANTEC SHARED\
    ProcessID          : 4294867941
    Threads            : 27
    Priority          : Normal
    FileVersion        : 1.03.4
    ProductVersion    : 1.03.4
    ProductName        : Event Manager
    CompanyName        : Symantec Corporation
    FileDescription    : Event Manager Service
    InternalName      : ccEvtMgr
    LegalCopyright    : Copyright (c) 2000-2002 Symantec Corporation. All rights reserved.
    OriginalFilename  : ccEvtMgr.exe

#:6 [NISUM.EXE]
    FilePath          : C:\PROGRAMMER\NORTON PERSONAL FIREWALL\
    ProcessID          : 4294844677
    Threads            : 11
    Priority          : Normal
    FileVersion        : 6.00.2036
    ProductVersion    : 6.00.2036
    ProductName        : Norton Internet Security
    CompanyName        : Symantec Corporation
    FileDescription    : Norton Internet Security NISUM
    InternalName      : NISUM
    LegalCopyright    : Copyright (c) 2000-2002 Symantec Corporation. All rights reserved.
    OriginalFilename  : NISUM.exe

#:7 [CCPXYSVC.EXE]
    FilePath          : C:\PROGRAMMER\NORTON PERSONAL FIREWALL\
    ProcessID          : 4294847969
    Threads            : 19
    Priority          : Normal
    FileVersion        : 6.00.2036
    ProductVersion    : 6.00.2036
    ProductName        : Norton Internet Security
    CompanyName        : Symantec Corporation
    FileDescription    : Norton Internet Security Proxy Service
    InternalName      : ccPxySvc
    LegalCopyright    : Copyright (c) 2000-2002 Symantec Corporation. All rights reserved.
    OriginalFilename  : ccPxySvc.exe

#:8 [TASKMON.EXE]
    FilePath          : C:\WINDOWS\
    ProcessID          : 4294691085
    Threads            : 2
    Priority          : Normal
    FileVersion        : 4.10.1998
    ProductVersion    : 4.10.1998
    ProductName        : Microsoft(R) Windows(R) Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : Task Monitor
    InternalName      : TaskMon
    LegalCopyright    : Copyright (C) Microsoft Corp. 1998
    OriginalFilename  : TASKMON.EXE

#:9 [SYSTRAY.EXE]
    FilePath          : C:\WINDOWS\SYSTEM\
    ProcessID          : 4294667969
    Threads            : 2
    Priority          : Normal
    FileVersion        : 4.10.1998
    ProductVersion    : 4.10.1998
    ProductName        : Microsoft(R) Windows(R) Operativsystem
    CompanyName        : Microsoft Corporation
    FileDescription    : Programmet Systembakke
    InternalName      : SYSTRAY
    LegalCopyright    : Copyright (C) Microsoft Corp. 1993-1998
    OriginalFilename  : SYSTRAY.EXE

#:10 [ATITASK.EXE]
    FilePath          : C:\WINDOWS\SYSTEM\
    ProcessID          : 4294661277
    Threads            : 2
    Priority          : Normal
    FileVersion        : 4.10.2304
    ProductVersion    : 4.10.2304
    ProductName        : ATI Technologies, Inc.
    CompanyName        : ATI Technologies, Inc.
    FileDescription    : ATI Task Application
    InternalName      : AtiTask
    LegalCopyright    : Copyright © ATI Technologies Inc. 1998
    OriginalFilename  : AtiTask

#:11 [QTTASK.EXE]
    FilePath          : C:\WINDOWS\SYSTEM\
    ProcessID          : 4294677341
    Threads            : 6
    Priority          : Normal
    FileVersion        : 6.4
    ProductVersion    : QuickTime 6.4
    ProductName        : QuickTime
    CompanyName        : Apple Computer, Inc.
    InternalName      : QuickTime Task
    LegalCopyright    : © Apple Computer, Inc. 2001-2003
    OriginalFilename  : QTTask.exe

#:12 [SPYSWEEPER.EXE]
    FilePath          : C:\PROGRAMMER\WEBROOT\SPY SWEEPER\
    ProcessID          : 4294701049
    Threads            : 8
    Priority          : Normal
    FileVersion        : 3.5.0.191
    ProductVersion    : 3.5
    ProductName        : Spy Sweeper
    CompanyName        : Webroot Software, Inc.
    FileDescription    : Spy Sweeper
    LegalCopyright    : Copyright (c) 2001-2004  Webroot Software, Inc.
    LegalTrademarks    : Spy Sweeper is a trademark of Webroot Software, Inc.

#:13 [WZQKPICK.EXE]
    FilePath          : C:\PROGRAMMER\WINZIP\
    ProcessID          : 4294653001
    Threads            : 2
    Priority          : Normal
    FileVersion        : 1.0 (32-bit)
    ProductVersion    : 8.1  (4319)
    ProductName        : WinZip
    CompanyName        : WinZip Computing, Inc.
    FileDescription    : WinZip Executable
    InternalName      : WZQKPICK.EXE
    LegalCopyright    : Copyright (c) WinZip Computing, Inc. 1991-2001 - All Rights Reserved
    LegalTrademarks    : WinZip is a registered trademark of WinZip Computing, Inc
    OriginalFilename  : WZQKPICK.EXE
    Comments          : StringFileInfo: U.S. English

#:14 [NKVMON.EXE]
    FilePath          : C:\PROGRAMMER\NIKON\NKVIEW5\
    ProcessID          : 4294653217
    Threads            : 4
    Priority          : Normal
    FileVersion        : 5, 1, 1, 3001
    ProductVersion    : 5, 1
    ProductName        : Nikon Monitor
    CompanyName        : Nikon Corporation
    FileDescription    : Nikon Monitor
    InternalName      : NkvMon
    LegalCopyright    : Copyright (C) Nikon Corporation. 1998 - 2002
    OriginalFilename  : NkvMon.exe
    Comments          : Nikon Monitor

#:15 [WINOA386.MOD]
    FilePath          : C:\WINDOWS\SYSTEM\
    ProcessID          : 4294624413
    Threads            : 1
    Priority          : Normal
    FileVersion        : 4.10.1998
    ProductVersion    : 4.10.1998
    ProductName        : Microsoft(R) Windows(R) Operativsystem
    CompanyName        : Microsoft Corporation
    FileDescription    : Komponent for ikke-Windows-programmmer til 386-udvidet tilstand.
    InternalName      : WINOLDAP
    LegalCopyright    : Copyright (C) Microsoft Corp. 1991-1998
    OriginalFilename  : WINOA386.MOD

#:16 [DDHELP.EXE]
    FilePath          : C:\WINDOWS\SYSTEM\
    ProcessID          : 4294527593
    Threads            : 6
    Priority          : Realtime
    FileVersion        : 4.09.00.0900
    ProductVersion    : 4.09.00.0900
    ProductName        : Microsoft® DirectX for Windows®
    CompanyName        : Microsoft Corporation
    FileDescription    : Microsoft DirectX Helper
    InternalName      : DDHelp.exe
    LegalCopyright    : Copyright © Microsoft Corp. 1994-2002
    OriginalFilename  : DDHelp.exe

#:17 [EXPLORER.EXE]
    FilePath          : C:\WINDOWS\
    ProcessID          : 4294608693
    Threads            : 16
    Priority          : Normal
    FileVersion        : 4.72.3110.1
    ProductVersion    : 4.72.3110.1
    ProductName        : Microsoft(R) Windows NT(R) Operativsystem
    CompanyName        : Microsoft Corporation
    FileDescription    : Windows Stifinder
    InternalName      : explorer
    LegalCopyright    : Copyright (C) Microsoft Corp. 1981-1997
    OriginalFilename  : EXPLORER.EXE

#:18 [AD-AWARE.EXE]
    FilePath          : C:\PROGRAMMER\LAVASOFT\AD-AWARE SE PERSONAL\
    ProcessID          : 4294547537
    Threads            : 3
    Priority          : Normal
    FileVersion        : 6.2.0.206
    ProductVersion    : VI.Second Edition
    ProductName        : Lavasoft Ad-Aware SE
    CompanyName        : Lavasoft Sweden
    FileDescription    : Ad-Aware SE Core application
    InternalName      : Ad-Aware.exe
    LegalCopyright    : Copyright © Lavasoft Sweden
    OriginalFilename  : Ad-Aware.exe
    Comments          : All Rights Reserved

Memory scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 32


Started registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

CoolWebSearch Object Recognized!
    Type              : RegValue
    Data              :
    Category          : Malware
    Comment            : "HOMEOldSP"
    Rootkey            : HKEY_USERS
    Object            : .DEFAULT\software\microsoft\internet explorer\main
    Value              : HOMEOldSP

CoolWebSearch Object Recognized!
    Type              : RegValue
    Data              :
    Category          : Malware
    Comment            : "HOMEOldSP"
    Rootkey            : HKEY_LOCAL_MACHINE
    Object            : software\microsoft\internet explorer\main
    Value              : HOMEOldSP

Possible Browser Hijack attempt Object Recognized!
    Type              : RegValue
    Data              :
    Category          : Malware
    Comment            : "sp"
    Rootkey            : HKEY_LOCAL_MACHINE
    Object            : software\microsoft\windows\currentversion\run
    Value              : sp

Registry Scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 3
Objects found so far: 35


Started deep registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Deep registry scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 35


Started Tracking Cookie scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»


Tracking Cookie Object Recognized!
    Type              : IECache Entry
    Data              : m&t@adtech[2].txt
    Category          : Data Miner
    Comment            : Hits:2
    Value              : Cookie:m&t@adtech.de/
    Expires            : 04-03-15 15:21:52
    LastSync          : Hits:2
    UseCount          : 0
    Hits              : 2

Tracking Cookie Object Recognized!
    Type              : IECache Entry
    Data              : m&t@cgi-bin[1].txt
    Category          : Data Miner
    Comment            : Hits:2
    Value              : Cookie:m&t@imrworldwide.com/cgi-bin
    Expires            : 19-01-09
    LastSync          : Hits:2
    UseCount          : 0
    Hits              : 2

Tracking cookie scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 2
Objects found so far: 37



Deep scanning and examining files (c:)
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Tracking Cookie Object Recognized!
    Type              : IECache Entry
    Data              : m&t@cgi-bin[1].txt
    Category          : Data Miner
    Comment            :
    Value              : c:\WINDOWS\Cookies\m&t@cgi-bin[1].txt

Tracking Cookie Object Recognized!
    Type              : IECache Entry
    Data              : m&t@adtech[2].txt
    Category          : Data Miner
    Comment            :
    Value              : c:\WINDOWS\Cookies\m&t@adtech[2].txt

Disk Scan Result for c:\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 39


Performing conditional scans...
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

CoolWebSearch Object Recognized!
    Type              : Regkey
    Data              :
    Category          : Malware
    Comment            :
    Rootkey            : HKEY_CLASSES_ROOT
    Object            : protocols\filter\text/html

CoolWebSearch Object Recognized!
    Type              : RegValue
    Data              :
    Category          : Malware
    Comment            :
    Rootkey            : HKEY_CLASSES_ROOT
    Object            : protocols\filter\text/html
    Value              : CLSID

CoolWebSearch Object Recognized!
    Type              : Regkey
    Data              :
    Category          : Malware
    Comment            :
    Rootkey            : HKEY_CLASSES_ROOT
    Object            : protocols\filter\text/plain

CoolWebSearch Object Recognized!
    Type              : RegValue
    Data              :
    Category          : Malware
    Comment            :
    Rootkey            : HKEY_CLASSES_ROOT
    Object            : protocols\filter\text/plain
    Value              : CLSID

CoolWebSearch Object Recognized!
    Type              : Regkey
    Data              :
    Category          : Malware
    Comment            : CWS.About:Blank
    Rootkey            : HKEY_LOCAL_MACHINE
    Object            : software\microsoft\windows\currentversion\uninstall\searchassistant uninstall

CoolWebSearch Object Recognized!
    Type              : RegValue
    Data              :
    Category          : Malware
    Comment            : CWS.About:Blank
    Rootkey            : HKEY_LOCAL_MACHINE
    Object            : software\microsoft\windows\currentversion\uninstall\searchassistant uninstall
    Value              : DisplayName

CoolWebSearch Object Recognized!
    Type              : RegValue
    Data              :
    Category          : Malware
    Comment            : CWS.About:Blank
    Rootkey            : HKEY_LOCAL_MACHINE
    Object            : software\microsoft\windows\currentversion\uninstall\searchassistant uninstall
    Value              : UninstallString

CoolWebSearch Object Recognized!
    Type              : RegValue
    Data              :
    Category          : Malware
    Comment            :
    Rootkey            : HKEY_LOCAL_MACHINE
    Object            : software\classes\protocols\filter\text/html
    Value              : CLSID

CoolWebSearch Object Recognized!
    Type              : RegValue
    Data              :
    Category          : Malware
    Comment            :
    Rootkey            : HKEY_LOCAL_MACHINE
    Object            : software\microsoft\internet explorer\main
    Value              : Search Bar

Conditional scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 9
Objects found so far: 48

09:41:54 Scan Complete

Summary Of This Scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Total scanning time:00:07:03.590
Objects scanned:72846
Objects identified:16
Objects ignored:0
New critical objects:16

Skrevet ons. d. 23. marts 2005 kl. 09:00:34| #1

jpvj
jpvj (98.073 point)
Jf. dette link http://spyware.pcwash.com/about-blank.html
skulle denne her kunne klare det:
http://www.nuker.com/info/01.php?hop=stever62

Smider det lige som svar, hvis det skulle lykkes :_)

Skrevet ons. d. 23. marts 2005 kl. 09:16:14| #2

ejvindh
ejvindh (81.653 point)
www.ejvindh.net
Jeg tror altså ikke spyware nuker er løsningen på problemet. Det har for det første et dårligt ry, og for det andet har den ikke vist sig mere effektiv end spybot/adaware:
http://www.spywarewarrior.com/rogue_anti-spyware.htm

Mere effektivt ville være at downloade Hijackthis:
http://danborg.org/spy/HJT/hijackthis.exe

Kør Hijackthis.exe fra en mappe som du opretter til formålet:
Klik på "Do a systemscan and save a logfile"
(det kan være at du bliver ført direkte ind til hovedprogrammet - så klikker du bare Scan - save log)
Kopiér indholdet af denne logfil herind i denne tråd, så vil du modtage nogle råd til at komme af med skidtet. Jeg vil fraråde at du selv begynder at fixe noget vha HJT.

Skrevet ons. d. 23. marts 2005 kl. 09:24:35| #3

jpvj
jpvj (98.073 point)
ok - jeg har ingen erfaring med den - jeg søgte blot på aboutblank.

Skrevet ons. d. 23. marts 2005 kl. 09:27:03| #4

kewin
kewin (17.745 point)
Hej jpvi

Spynuker fandt også følgende:
Adtech , coolwebsearch, CWS.About_Blank, Mediaplex
This trial version of spynuker cannot remove these spyware and adware application.
Jeg bliver bedt om at køpe program- det har jeg ikke lyst til da jeg allerede har forsøgt uden jeg fik programmet- det var et andet software.Jeg har også kørt programmet
CWSshredder , hijackthis.zip , Thekillbox.exe
Hvad gør jeg nu??

Skrevet ons. d. 23. marts 2005 kl. 09:30:54| #5

ejvindh
ejvindh (81.653 point)
www.ejvindh.net
Hvis den HJT du har downloadet er nyeste version (1.99.1), så synes jeg du skal lægge loggen ind i denne tråd. Ellers kan du downloade en nyere version fra det link jeg gav dig. Så vil jeg give dig råd til at komme af med infektionen.

Aboutblank er én af de sværeste infektioner overhovedet. Der er ingen nemme genveje her!

Skrevet ons. d. 23. marts 2005 kl. 09:41:02| #6

kewin
kewin (17.745 point)
Hej

Jeg har kørt Hijackthis og jeg kan ikke kopier log fil??

Skrevet ons. d. 23. marts 2005 kl. 09:44:08| #7

ejvindh
ejvindh (81.653 point)
www.ejvindh.net
Klik på save-log, og gem den et sted på HD. Herefter popper et notepad vindue op med loggen. Hvis der i øverste linie står 1.99.1 har du nyeste version, og du copy-paster loggen herind. Ellers hent den nyeste HJT på mit link, og følg instruktionen i min første kommentar :-)

Skrevet ons. d. 23. marts 2005 kl. 09:54:25| #8

kewin
kewin (17.745 point)
Hvorfor kan jeg ikke kopier en log fil af Hijackthis scanning?

Skrevet ons. d. 23. marts 2005 kl. 09:59:50| #9

ejvindh
ejvindh (81.653 point)
www.ejvindh.net
Ja, det forstår jeg heller ikke. Det kunne måske tyde på at du har fået fat i en dårlig udgave af programmet. Prøv at følge denne procedure slavisk:

Downloade Hijackthis her:
http://danborg.org/spy/HJT/hijackthis.exe

Kør Hijackthis.exe fra en mappe som du opretter til formålet:
Klik på "Do a systemscan and save a logfile"
  Så skanner programmet og efter et stykke tid skulle der poppe et nyt notepad-vindue op. I dette vindue markerer du det hele, og klikker på rediger-kopier.
Så går du ind på denne side, og går ned i indtastningsvinduet, og klikker ctrl-v. Så burde det lykkes. Hvis ikke, så fortæl hvor det går galt i forhold til min vejledning.

Skrevet ons. d. 23. marts 2005 kl. 10:19:29| #10

kewin
kewin (17.745 point)
Hej Ejvindh

log fil.

Logfile of HijackThis v1.99.1
Scan saved at 09:47:11, on 23-03-05
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v5.00 (5.00.2919.6304)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMMER\FæLLES FILER\SYMANTEC SHARED\CCEVTMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATITASK.EXE
C:\PROGRAMMER\FæLLES FILER\REAL\UPDATE_OB\REALSCHED.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\PROGRAMMER\FæLLES FILER\SYMANTEC SHARED\CCAPP.EXE
C:\PROGRAMMER\GRISOFT\AVG FREE\AVGCC.EXE
C:\PROGRAMMER\GRISOFT\AVG FREE\AVGEMC.EXE
C:\PROGRAMMER\GRISOFT\AVG FREE\AVGAMSVR.EXE
C:\PROGRAMMER\WINZIP\WZQKPICK.EXE
C:\PROGRAMMER\NIKON\NKVIEW5\NKVMON.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMMER\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMMER\SPYWARE NUKER 2004\SWN2.EXE
C:\PROGRAMMER\WINZIP\WINZIP32.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMMER\MICROSOFT OFFICE\OFFICE\WINWORD.EXE
C:\WINDOWS\SKRIVEBORD\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMER\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {8FF4F4A9-9B29-11D9-94E4-0050FD42E7FE} - C:\WINDOWS\SYSTEM\LIOGMB.DLL
O4 - HKLM\..\Run: [Skan registreringsdatabase] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [Job-oversigt] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AtiKey] Atitask.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [Norton Antivirus AV] C:\WINDOWS\FVProtect.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGCC.EXE /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGEMC.EXE
O4 - HKLM\..\Run: [AVG7_AMSVR] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGAMSVR.EXE
O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
O4 - HKLM\..\Run: [Spyware Nuker] C:\Programmer\Spyware Nuker 2004\swn2.exe /h
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [Planlægningsagent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programmer\Fælles filer\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKCU\..\Run: [SpySweeper] "C:\Programmer\Webroot\Spy Sweeper\SPYSWEEPER.EXE" /0
O4 - Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O4 - Startup: WinZip Quick Pick.lnk = C:\Programmer\WinZip\WZQKPICK.EXE
O4 - Startup: NkvMon.exe.lnk = C:\Programmer\Nikon\NkView5\NkvMon.exe
O4 - Startup: FotoStation Easy AutoLaunch.lnk = C:\Programmer\FotoStation Easy\FotoStation Easy AutoLaunch.exe
O4 - Startup: Adobe Gamma Loader.exe.lnk = ?
O4 - Startup: Spy Sweeper Fix.pif = C:\PROGRA~1\WEBROOT\SPYSWE~1\SPYSWE~1.BAT
O8 - Extra context menu item: Åbn billede i &Microsoft PhotoDraw - res://C:\PROGRA~1\MICROS~1\OFFICE\1030\PHDINTL.DLL/phdContext.htm
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O18 - Filter: text/html - {0DDC8222-9B34-11D9-94E4-0050B45EB20A} - C:\WINDOWS\SYSTEM\LIOGMB.DLL
O18 - Filter: text/plain - {0DDC8222-9B34-11D9-94E4-0050B45EB20A} - C:\WINDOWS\SYSTEM\LIOGMB.DLL

Skrevet ons. d. 23. marts 2005 kl. 10:20:17| #11

ejvindh
ejvindh (81.653 point)
www.ejvindh.net
Et øjeblik, så kommer der instruktioner :-)

Skrevet ons. d. 23. marts 2005 kl. 10:24:20| #12

kewin
kewin (17.745 point)
Hej Evindh

Jeg skal lige til møde 1-2 tim. vender tilbage, håber på al din hjælp ell. er jeg "lost"

Tak

Skrevet ons. d. 23. marts 2005 kl. 10:42:01| #13

ejvindh
ejvindh (81.653 point)
www.ejvindh.net
Alt i orden. Her kommer proceduren. Den er ret omfattende, men prøv at tage det ét skridt af gangen, så skal det nok gå.

Afinstaller SpywareNuker: Klik på Start-indstillinger-kontrolpanel-Tilføj/fjern programmer, find spywarenuker, og vælg at afinstallere det.

Hent CWShredder her (du skal ikke bruge den version du allerede HAR downloadet):
http://cwshredder.net/bin/CWShredder.exe
Placer den i sin egen mappe. Du skal bruge det senere

Download og gem denne scanner på skrivebordet. Du skal ikke aktivere det endnu.
http://www.spywareinfo.dk/download/mwav.exe

Hent og gem også dette lille fix. Du skal også først bruge det senere.
https://beta.activeupdate.trendmicro.com/fixtool/fixagentv1.0007.zip

Herefter køres CWShredder.
Kør programmet, afbryd din internetforbindelse fysisk (stikket ud), luk alle vinduer undtaget cwshredder, klik på Fix, den scanner nu, når den er færdigt klik på Next, klik på Exit.

Prøv så en tur med Regedit.
Klik på Start - Kør skriv: regedit og klik OK.
Du får et vindue lidt ligesom stifinder.
Klik dig i venstre side frem til:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
Tjek om der ligger en nøgle/tekst der hedder "HOMEOldSP", gør der det slet den.
Ligger der herinde nogle filer under search page, search bar som ender på noget ....\sp. Skal du også slette dem.

Stadig i Regedit:
Gå i rediger - ned i søg - i linjen skriver du: HOMEOldSP
Klik på find næste. Delete filen hvis den findes. Tast f3 for at finde næste (der er sikkert kun en)
Samme fremgangsmåde med søgeordet About:blank
Luk på X når du får at vide der ikke er flere filer at finde.

Genstart fejlsikret tilstand (tryk F8 under genstart lige når computeren skriver "Starter Windows 98", og vælg fejlsikret) og uden forbindelse til Nettet.

Kør en scanning med Hijackthis, så du kan se alle filer.
Du får herunder nogle filer, som du skal fixe. Det, du skal gøre, er at sætte et flueben ud for disse filer. Når du har gjort det, så lukker du alle andre vinduer ned. Det er meget vigtigt at det eneste vindue, som er åbent er HijackThis vinduet. Husk også at lukke dette vindue, når du har markeret filerne. Nu må du fixe. Klik på Fix checked.

Det er disse, som skal fixes:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {8FF4F4A9-9B29-11D9-94E4-0050FD42E7FE} - C:\WINDOWS\SYSTEM\LIOGMB.DLL
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Norton Antivirus AV] C:\WINDOWS\FVProtect.exe
O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
O4 - HKLM\..\Run: [Spyware Nuker] C:\Programmer\Spyware Nuker 2004\swn2.exe /h
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O18 - Filter: text/html - {0DDC8222-9B34-11D9-94E4-0050B45EB20A} - C:\WINDOWS\SYSTEM\LIOGMB.DLL
O18 - Filter: text/plain - {0DDC8222-9B34-11D9-94E4-0050B45EB20A} - C:\WINDOWS\SYSTEM\LIOGMB.DLL
-------------------------------------------------------------------

Sletning af filer:
Åbn en mappe, klik på Vis=>Mappeindstillinger=>Vis.
Fjern flueben i "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis alle filer".

Genstart i fejlsikret tilstand (tryk F8 lige når computeren skriver "Starter Windows 98"); søg og slet følgende filer - måske kan du ikke finde dem alle.

C:\WINDOWS\TEMP\se.dll
C:\WINDOWS\SYSTEM\LIOGMB.DLL
C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe
C:\WINDOWS\FVProtect.exe
---------------------------------------

Kør Fixtool som du tidligere hentede.

Kør nu programmet mwav
Klik på den fil du har hentet: mwav.exe Klik på unzip og det pakker sig ud i en mappe som det selv opretter på C:\Kasperskky - klik på OK.

Sæt flueben i følgende:
Memory, Startup folders, drive, Registry, System folders og Services.
Sæt prik i følgende:
All local drives og Scan all files
Klik på scan.
Lad scanneren fjerne alt hvad den selv foreslår. Det kan godt tage et par timer, men den er også meget grundig. :-)

Genstart din computer normalt.
Hvis du ikke allerede har Ad-Aware, så hent og installer programmet. Opdater det straks efter installationen - inden du kører en scanning. Fjern alt hvad programmet finder. Programmet samt brugervejledning på dansk finder du her: http://www.spywarefri.dk/vaerktoj.htm#adaware
Genstart

Tøm din papirkurv.

Genstart til normal tilstand, kør en scanning med hijackthis og kopier en ny log herind til test.

Skrevet ons. d. 23. marts 2005 kl. 16:17:38| #14

kewin
kewin (17.745 point)
Hej igen

Har kørt efter bogen , beskrivelse men efter at have kørt Fixtool og derefter mwav.exe og klik på unzip , hvor finder jeg mappen C:\Kasperskky- og kliker på ok???
Sæt flueben i følgende: Memory , startup folders, drive Registry, System folders og Service hvor findes disse settings??
Hvilket program skal anvendes når der scannes i et par timer.
Ps Det tog langt tid at komme på nettet igen , den kan ikke finde serveren
, Jeg kan efter mange forsøg komme på hvis jeg skriver en anden side www. xxxxxxxx  fx hvad er der galt her.

Skrevet ons. d. 23. marts 2005 kl. 16:24:29| #15

ejvindh
ejvindh (81.653 point)
www.ejvindh.net
Normalt vil Mwav-scanneren selv starte efter at du har udpakket den (dobbeltklikke på mwav.exe, herefter klikke på Unzip, og når den er færdig klikke på OK). Så skulle der starte et vindue, der hedder Escan Antivirus Toolkit utility. Hvis du sætter de settings som jeg har beskrevet (Sæt flueben i følgende: Memory, Startup folders, drive, Registry, System folders og Services. Sæt prik i følgende: All local drives og Scan all files) så vil den lave et meget grundigt scan af din computer, der kan tage op til et par timer.

Angående dine symptomer, så er det lidt svært at svare præcist på hvad det betyder endnu. Kør processen færdig og læg en ny log herind. Så tager vi den derfra :-)

Skrevet ons. d. 23. marts 2005 kl. 17:55:45| #16

kewin
kewin (17.745 point)
Hej

Prøver igen! Det lykkes ikke at få et vindue op der hedder Escan Antivirus Toolkit utility??? Efter at have dobbelklikket på mwav.exe og derefter på unzip, sker der følgende besked:
160 file(s) unzipped successfully  hvad så nu?? Hvis jeg unzipper Mway mappe får jeg en skov frem af filer: rigtig mange med endelse fx: troj001.avc og mange flere
Hvis jeg går op i filer på dette billed kan jeg åbne fx scan med AVG Free.
jeg kan ikke starte denne tidligere omtalte scanning med settings???
Tak

Skrevet ons. d. 23. marts 2005 kl. 17:59:48| #17

ejvindh
ejvindh (81.653 point)
www.ejvindh.net
Det var mærkeligt. Prøv at køre programmet igen, og check at der er 2 flueben i den første dialogbox. Det skal der være.

Hvis det ikke hjælper, så åben stifinder (Tast: Win-E), ude til venstre klikker du på plustegnet udfor C-drevet, klikker én gang på mappen Kaspersky. I højre side dobbeltklikker du så på mwavscan.com (muligvis kan du ikke se .com endelsen). Så skulle det køre.

Skrevet ons. d. 23. marts 2005 kl. 18:27:17| #18

kewin
kewin (17.745 point)
Hej

"Gjort" Når mwavscan.com hvid knap med blå kant drobbelklikker kommer følgende advarsel op med Mwarscan vindue i baggrunden:
Der kræves mere konventionel hukommelse til dette program.Fjern drivere og programmer som benytter konventionel hukommelse ell angiv en større værdi for mindste konventionele hukommelse i programarket egenskabsark for hukommelse--

Nu er jeg på glat is igen

Skrevet ons. d. 23. marts 2005 kl. 18:30:21| #19

ejvindh
ejvindh (81.653 point)
www.ejvindh.net
Ok, så prøver vi i første omgang at springe mwav-scan over. Lav en ny log i HJT som du lægger ind.

Samtidig vil jeg også gerne have en log med dette program:
Hent dette program og pak det ud til sin egen mappe:
http://www.niksoft.at/php/dl.php?f=startdreck.zip

Kør Startdreck.exe - efter lidt tid kan du trykke på "Config" - tryk "unmark all" - sæt herefter flueben i:
Registry -> Run Keys
System/drivers> Running processes
Tryk "Ok"

Tryk "Save" og gem log'en et sted, hvor du kan finde den igen. Læg log'en herind.

Skrevet ons. d. 23. marts 2005 kl. 19:07:22| #20

kewin
kewin (17.745 point)
Hej
Det lykkes mig at få tage en log fil af begge scan- utroligt

Hijackthis ny log:Logfile of HijackThis v1.99.1
Scan saved at 18:52:15, on 23-03-05
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v5.00 (5.00.2919.6304)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMMER\FæLLES FILER\SYMANTEC SHARED\CCEVTMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATITASK.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\PROGRAMMER\FæLLES FILER\SYMANTEC SHARED\CCAPP.EXE
C:\PROGRAMMER\GRISOFT\AVG FREE\AVGCC.EXE
C:\PROGRAMMER\GRISOFT\AVG FREE\AVGEMC.EXE
C:\PROGRAMMER\GRISOFT\AVG FREE\AVGAMSVR.EXE
C:\PROGRAMMER\WINZIP\WZQKPICK.EXE
C:\PROGRAMMER\NIKON\NKVIEW5\NKVMON.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMMER\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\TEMP\STARTDRECK.EXE
C:\WINDOWS\SKRIVEBORD\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://10.0.0.6/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMER\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O4 - HKLM\..\Run: [Skan registreringsdatabase] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [Job-oversigt] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AtiKey] Atitask.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [Norton Antivirus AV] C:\WINDOWS\FVProtect.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGCC.EXE /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGEMC.EXE
O4 - HKLM\..\Run: [AVG7_AMSVR] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGAMSVR.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [Planlægningsagent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programmer\Fælles filer\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKCU\..\Run: [SpySweeper] "C:\Programmer\Webroot\Spy Sweeper\SPYSWEEPER.EXE" /0
O4 - Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O4 - Startup: WinZip Quick Pick.lnk = C:\Programmer\WinZip\WZQKPICK.EXE
O4 - Startup: NkvMon.exe.lnk = C:\Programmer\Nikon\NkView5\NkvMon.exe
O4 - Startup: FotoStation Easy AutoLaunch.lnk = C:\Programmer\FotoStation Easy\FotoStation Easy AutoLaunch.exe
O4 - Startup: Adobe Gamma Loader.exe.lnk = ?
O4 - Startup: Spy Sweeper Fix.pif = C:\PROGRA~1\WEBROOT\SPYSWE~1\SPYSWE~1.BAT
O8 - Extra context menu item: Åbn billede i &Microsoft PhotoDraw - res://C:\PROGRA~1\MICROS~1\OFFICE\1030\PHDINTL.DLL/phdContext.htm
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

Startdreck log fil:
StartDreck (build 2.1.7 public stable) - 2005-03-23 @ 18:44:23 (GMT +01:00)
Platform: Windows 98 (Win 4.10.1998 )
Internet Explorer: 5.00.2919.6307
Logged in as M&T at MICHAEL

»Registry
»Run Keys
  »Current User
  »Run
    *SpySweeper="C:\Programmer\Webroot\Spy Sweeper\SPYSWEEPER.EXE" /0
  »RunOnce
  »Default User
  »Run
    *SpySweeper="C:\Programmer\Webroot\Spy Sweeper\SPYSWEEPER.EXE" /0
  »RunOnce
  »Local Machine
  »Run
    *Skan registreringsdatabase=C:\WINDOWS\scanregw.exe /autorun
    *Job-oversigt=C:\WINDOWS\taskmon.exe
    *SystemTray=SysTray.Exe
    *LoadPowerProfile=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
    *AtiKey=Atitask.exe
    *QuickTime Task="C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
    *Norton Antivirus AV=C:\WINDOWS\FVProtect.exe
    *ccApp="C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
    *ccRegVfy="C:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
    *AVG7_CC=C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGCC.EXE /STARTUP
    *AVG7_EMC=C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGEMC.EXE
    *AVG7_AMSVR=C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGAMSVR.EXE
    +OptionalComponents
    +IMAIL
      *Installed=1
    +MAPI
      *NoChange=1
      *Installed=1
    +MAPI
      *NoChange=1
      *Installed=1
  »RunOnce
  »RunServices
    *LoadPowerProfile=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
    *SchedulingAgent=mstask.exe
    *Planlægningsagent=C:\WINDOWS\SYSTEM\mstask.exe
    *ccEvtMgr="C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe"
    *ScriptBlocking="C:\Programmer\Fælles filer\Symantec Shared\Script Blocking\SBServ.exe" -reg
  »RunServicesOnce
    **g=rundll32 C:\WINDOWS\QTFOBT.FOR,DllGetClassObject
  »RunOnceEx
  »RunServicesOnceEx
»Files
»System/Drivers
»Running Processes
  +FFEF27CD=C:\WINDOWS\SYSTEM\KERNEL32.DLL
  +FFFFFAB1=C:\WINDOWS\SYSTEM\MSGSRV32.EXE
  +FFFFEC01=C:\WINDOWS\SYSTEM\MPREXE.EXE
  +FFFE67E9=C:\WINDOWS\SYSTEM\MSTASK.EXE
  +FFFE6E95=C:\PROGRAMMER\FæLLES FILER\SYMANTEC SHARED\CCEVTMGR.EXE
  +FFFECDA1=C:\WINDOWS\RUNDLL32.EXE
  +FFFEEDC9=C:\WINDOWS\EXPLORER.EXE
  +FFFC60A5=C:\WINDOWS\TASKMON.EXE
  +FFFC6959=C:\WINDOWS\SYSTEM\SYSTRAY.EXE
  +FFFC4FCD=C:\WINDOWS\SYSTEM\ATITASK.EXE
  +FFFC67B9=C:\WINDOWS\SYSTEM\QTTASK.EXE
  +FFFC0C6D=C:\PROGRAMMER\FæLLES FILER\SYMANTEC SHARED\CCAPP.EXE
  +FFFCDE51=C:\PROGRAMMER\GRISOFT\AVG FREE\AVGCC.EXE
  +FFFCD155=C:\PROGRAMMER\GRISOFT\AVG FREE\AVGEMC.EXE
  +FFFCF475=C:\PROGRAMMER\GRISOFT\AVG FREE\AVGAMSVR.EXE
  +FFFB8011=C:\PROGRAMMER\WINZIP\WZQKPICK.EXE
  +FFFB4449=C:\PROGRAMMER\NIKON\NKVIEW5\NKVMON.EXE
  +FFFA56E9=C:\WINDOWS\SYSTEM\DDHELP.EXE
  +FFF776FD=C:\PROGRAMMER\INTERNET EXPLORER\IEXPLORE.EXE
  +F8313DA9=C:\WINDOWS\SYSTEM\SPOOL32.EXE
  +FFFBD729=C:\WINDOWS\SYSTEM\PSTORES.EXE
  +FFFB4781=C:\PROGRAMMER\WINZIP\WINZIP32.EXE
  +F807FE15=C:\WINDOWS\TEMP\STARTDRECK.EXE
»Application specific


Kewin

Skrevet ons. d. 23. marts 2005 kl. 19:18:06| #21

ejvindh
ejvindh (81.653 point)
www.ejvindh.net
Ja, det var helt perfekt. :-)

Genstart i fejlsikret, kør HJT og fix disse entries:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://10.0.0.6/
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

Søg og slet herefter følgende fil:
C:\WINDOWS\QTFOBT.FOR

Genstart til normal tilstand, og lav en ny log med begge programmer som du lægger herind.

Skrevet ons. d. 23. marts 2005 kl. 19:27:36| #22

tonnybrandt
tonnybrandt (218.194 point)
ejvindh > Undskyld, men det kan man altså ikke fixe på den måde. Brugeren kan slet ikke se filen før du har fixet nøglen i registreringsdatabasen først.

Hent dette program:
http://www.greyknight17.com/spy/Win98Fix.zip
udpak det til sin egen mappe. Start op i fejlsikret, gå i Win98 fix mappen, og dobbeltklik RunFix.reg, sig ja til at flette det ind i registreringsdatabasen.

Genstart i fejlsikret tilstand og slet denne fil:
C:\WINDOWS\QTFOBT.FOR

og fix disse 2 i HiJackThis:
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

Denne startside har en ipaddresse som er privat, hvilket vil sige at den er non-routable på internettet.
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://10.0.0.6/
Så den kan umuligt være snavset.

Skrevet ons. d. 23. marts 2005 kl. 19:32:11| #23

ejvindh
ejvindh (81.653 point)
www.ejvindh.net
Tonnybrandt: Angående qtfobt.for --> Ja, du har ret. Det var en ren forglemmelse!

Angående R0: Jeg var faktisk også lidt i tvivl her, men vurderede at det i dette tilfælde ville være bedre at tage for meget end for lidt. Men godt at du er bedre informeret end jeg.

Kewin: (som altid:) Når Tonnybrandt retter på én, så har han ret. Istedet for mit sidste råd, skal du gøre som han skrev her!

Skrevet ons. d. 23. marts 2005 kl. 21:07:23| #24

kewin
kewin (17.745 point)
Hej igen

Genstart i fejlsikret tilstand og slet denne fil:
C:\WINDOWS\QTFOBT.FOR  hvor finder jeg den?? har ledt uden held.
Vedr. Hijackthis har scannet og kan ikke fixe de 2 

014-IERESET.INF_SEARCH_PAGE_URL=

  014-IERESET.INT:START_PAGE_URL=

Skrevet ons. d. 23. marts 2005 kl. 21:09:16| #25

kewin
kewin (17.745 point)
Jeg glemte at fortælle at min start side http://10.0.0.6/ er den rigtige men vil ikke
starte op - kan ikke finde serveren og boxen som normal kommer frem til at log in i??

Skrevet ons. d. 23. marts 2005 kl. 21:11:39| #26

ejvindh
ejvindh (81.653 point)
www.ejvindh.net
Jeg skal lige høre om du har kørt min eller Tonnybrandt's procedure? Hvis du har kørt min, så prøv at køre Tonnybrandts i stedet for.

Skrevet ons. d. 23. marts 2005 kl. 21:14:53| #27

kewin
kewin (17.745 point)
Jeg har kørt Tonnys

Skrevet ons. d. 23. marts 2005 kl. 21:21:20| #28

ejvindh
ejvindh (81.653 point)
www.ejvindh.net
Ok, lige et øjeblik. Vi prøver på en ny måde :-)

Skrevet ons. d. 23. marts 2005 kl. 21:28:28| #29

ejvindh
ejvindh (81.653 point)
www.ejvindh.net
Start op i fejlsikret, gå til den win98fix mappe som du oprettede sidste gang du kørte Win98Fix.zip. Dobbeltklik RunFix.reg, sig ja til at flette det ind i registreringsdatabasen.

Genstart computeren, og tast f8 under opstart, og gå i "kun kommandoprompt".

Du kommer til det vi kalder en kommandoprompt: C:\>
Her skriver du:
CD windows <Enter>

Så kommer der til at stå følgende ud for cursoren: C:\windows>
Her skriver du:
ren QTFOBT.FOR QTFOBT.OLD <Enter>

Genstart i fejlsikret (du genstarter ved at taste ctrl-alt-delete) og slet (via stifinder)
c:\Windows\FHQ.old.

Kør CWShredder igen (som du hentede under første procedure).

Kør HijackThis, og fix disse linier, eller dem der tilbage.
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

(det skal siges at de 2 entries ikke i sig selv er alvorlige. Jeg kunne bare godt tænke mig at de forsvandt når vi fikser dem, for det plejer de at gøre :-))

Genstart til normaltilstand, og lav 2 nye logs, som du sender herind.

Skrevet ons. d. 23. marts 2005 kl. 21:30:14| #30

ejvindh
ejvindh (81.653 point)
www.ejvindh.net
Når der ovenfor står <enter> så betyder det at du skal bruge tasten <enter>/<return> -- du skal ikke skrive selve ordet <enter> (:-))

Skrevet ons. d. 23. marts 2005 kl. 22:41:09| #31

kewin
kewin (17.745 point)
Genstart computeren, og tast f8 under opstart, og gå i "kun kommandoprompt".

Du kommer til det vi kalder en kommandoprompt: C:\>
Her skriver du:
CD windows <Enter>

Så kommer der til at stå følgende ud for cursoren: C:\windows>
Her skriver du:
ren QTFOBT.FOR QTFOBT.OLD <Enter>

Genstart i fejlsikret (du genstarter ved at taste ctrl-alt-delete) og slet (via stifinder)
c:\Windows\FHQ.old.

Det overstående er jeg ikke lykkes med- ved opstart går den frem til fejlsikkeret tilstand  pu ha

Skrevet ons. d. 23. marts 2005 kl. 22:48:53| #32

ejvindh
ejvindh (81.653 point)
www.ejvindh.net
Når du trykker F8, skulle du gerne få mulighed for at vælge mellem forskellige ting. Heriblandt at gå til kommandoprompt.

Prøv ellers under opstarten at trykke Alt-F5

Skrevet tor. d. 24. marts 2005 kl. 00:17:07| #33

ejvindh
ejvindh (81.653 point)
www.ejvindh.net
Jeg kom lige i tanker om en alternativ måde at komme ind til kommandoprompten på:
Klik på Start-Luk computeren, og vælg inde i "luk windows"-menuen at "Genstarte computeren i MS-DOS tilstand"

Skrevet tor. d. 24. marts 2005 kl. 01:06:35| #34

ejvindh
ejvindh (81.653 point)
www.ejvindh.net
Hov, jeg opdager lige en skrivefejl i proceduren fra (Kommentar: ejvindh
23/03-2005 21:28:28): Den fil du skal slette med stifinderen, skal hedder sådan her:
c:\Windows\QTFOBT.OLD

(ved en fejl var jeg kommet til at skrive c:\Windows\FHQ.old). For overblikkets skyld, får du lige hele proceduren samlet her:
---------------------------------------------------------------------------------
Start op i fejlsikret, gå til den win98fix mappe som du oprettede sidste gang du kørte Win98Fix.zip. Dobbeltklik RunFix.reg, sig ja til at flette det ind i registreringsdatabasen.

Klik på Start-Luk computeren, og vælg inde i "luk windows"-menuen at "Genstarte computeren i MS-DOS tilstand"

Du kommer til det vi kalder en kommandoprompt: C:\>
Her skriver du:
CD windows <Enter>

Så kommer der til at stå følgende ud for cursoren: C:\windows>
Her skriver du:
ren QTFOBT.FOR QTFOBT.OLD <Enter>

Genstart i fejlsikret (du genstarter ved at taste ctrl-alt-delete) og slet (via stifinder)
c:\Windows\QTFOBT.OLD

Kør CWShredder igen (som du hentede under første procedure).

Kør HijackThis, og fix disse linier, eller dem der tilbage.
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

(det skal siges at de 2 entries ikke i sig selv er alvorlige. Jeg kunne bare godt tænke mig at de forsvandt når vi fikser dem, for det plejer de at gøre :-))

Genstart til normaltilstand (når man er ved kommandoprompt, så genstarter man ved at taste ctrl-alt-delete samtidig), og lav 2 nye logs, som du sender herind.

Skrevet tor. d. 24. marts 2005 kl. 11:09:42| #35

kewin
kewin (17.745 point)
Hej  Ejvindh

Jeg prøver dette! Familien kræver at jeg forlader computeren- er væk nogle dage
i de dybe skove i SV
Du får sinal fra mig , hvis det lykkes at komme på nettet igen.
Et af mine virus programmer fortæller ved opstart at den har fundet:
C:\\windows\Temp\se.dll  er den fil en virus og skal slettes????????

Skrevet tor. d. 24. marts 2005 kl. 11:14:25| #36

ejvindh
ejvindh (81.653 point)
www.ejvindh.net
Ja, det er det, og den skal slettes. Det tyder desværre på, hvad jeg frygtede, at virussen har nået at genetablere sig. Med denne virus er det vigtigt at de forskellige indgreb foretages rimelig tæt på hinanden.

Derfor: Så snart du er klar til at vende tilbage til problemet, synes jeg du skal vente med den procedure som jeg lige har givet dig. I stedet laver du en log i både HJT og Startdreck, som du lægger herind. Så laver jeg en procedure til hvordan vi tager hele baduljen i én køre :-) Og bare rolig: Du er ikke den første dét er sket for, og vi skal nok komme igennem med det :-)

God tur i øvrigt.

Skrevet tor. d. 24. marts 2005 kl. 11:22:13| #37

kewin
kewin (17.745 point)
Det lyder som en drøm....
Jeg skal lige tilføje at jeg ikke har kunne og ikke kan lukke ned normalt : Rundll32 starter og blocker for at lukke programmer også selv om jeg delete Rundll32 , Jeg må tage strømmen igen og igen. Når jeg starter op explorer springer den stadigvæk tilbage på AboutBlank. Hvis jeg retter nogle gange starter min side op htt://10.0.06 med uden at tilslutte kan ikke finde server Jeg skriver en anden side og kommer på -
heldigvis---Jeg skal ønske dig God Påske- og følger dine råd når jeg er tilbage- det tager alætid længere tid end ventet.

Tak

Skrevet tor. d. 31. marts 2005 kl. 09:53:51| #38

ejvindh
ejvindh (81.653 point)
www.ejvindh.net
Kewin: Er du ved at være kommet over påsken, og klar til at tage en ny tørn med problemet? Jeg kan fortælle at jeg har været ved at udvikle et værktøj, der måske kan afhjælpe problemet uden at du skal til at arbejde i kommando-prompten. Det ville jeg jo svært gerne have afprøvet :-)

Skrevet tor. d. 07. april 2005 kl. 18:46:51| #39

kewin
kewin (17.745 point)
Hej Ejvindh

Ja påsken blev lang- det tager altid længere tid at gear uppp igen.Jeg skal til møde (rejser et par dage) i morgen med et par andre IT er.Jeg vil gerne afprøve dit system- jeg vender tilbage til dig når jeg er klar.

Skrevet tir. d. 19. april 2005 kl. 00:23:43| #40

kewin
kewin (17.745 point)
Jeg har stadigvæk computer problemer de er vokset til at omfatte"
ingen ekstra staksider angiv højre værdi i MinSps system.ini, der er i øjeblikket allokeret 5 Spér" Jeg tror det problem opstod efter jeg fik E trust installeret,har netop taget bort det igen, uden det hjalp.Computeren kan ikke log in på fx hotmail conto ell Internetbank ell printe større ting??.Læste kort det drejer sig om registeringsbasen, det er ikke lige min kop te!!!! AboutBlank lever stadigvæk men jeg kan komme på nettet og kan også maile til tider.Hvad gør jeg nu??

Skrevet tir. d. 19. april 2005 kl. 00:46:23| #41

tonnybrandt
tonnybrandt (218.194 point)
Klik start | kør, skriv sysedit og tryke enter.
Find filen system.ini
Find [386enh] sektionen
Her finder du "MinSps" samt et tal
læg 4 til tallet og gem filen.
Genstart og se om stack-fejlen ikke forsvandt.

Hvis ikke så gør det igen og læg 4 mere til.

Og kom til sidst med en ny HiJackThis samt startdreck log, så vi kan se hvordan det ser ud.

Skrevet ons. d. 20. april 2005 kl. 00:28:27| #42

kewin
kewin (17.745 point)
ogfile of HijackThis v1.99.1
Scan saved at 00:17:14, on 20-04-05
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v5.00 (5.00.2919.6304)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATITASK.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\PROGRAMMER\FæLLES FILER\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAMMER\WINZIP\WZQKPICK.EXE
C:\PROGRAMMER\NIKON\NKVIEW5\NKVMON.EXE
C:\PROGRAMMER\FOTOSTATION EASY\FOTOSTATION EASY AUTOLAUNCH.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMMER\OUTLOOK EXPRESS\MSIMN.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMMER\FOTOSTATION EASY\FOTOSTATION EASY AUTOLAUNCH.EXE
C:\PROGRAMMER\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SKRIVEBORD\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMER\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {84C6BCA4-B12A-11D9-94E4-00505016D207} - C:\WINDOWS\SYSTEM\CNDDDA.DLL
O4 - HKLM\..\Run: [Skan registreringsdatabase] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [Job-oversigt] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AtiKey] Atitask.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [Norton Antivirus AV] C:\WINDOWS\FVProtect.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [Planlægningsagent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKCU\..\Run: [SpySweeper] "C:\Programmer\Webroot\Spy Sweeper\SPYSWEEPER.EXE" /0
O4 - Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O4 - Startup: WinZip Quick Pick.lnk = C:\Programmer\WinZip\WZQKPICK.EXE
O4 - Startup: NkvMon.exe.lnk = C:\Programmer\Nikon\NkView5\NkvMon.exe
O4 - Startup: FotoStation Easy AutoLaunch.lnk = C:\Programmer\FotoStation Easy\FotoStation Easy AutoLaunch.exe
O4 - Startup: Adobe Gamma Loader.exe.lnk = ?
O4 - Startup: Spy Sweeper Fix.pif = C:\PROGRA~1\WEBROOT\SPYSWE~1\SPYSWE~1.BAT
O8 - Extra context menu item: Åbn billede i &Microsoft PhotoDraw - res://C:\PROGRA~1\MICROS~1\OFFICE\1030\PHDINTL.DLL/phdContext.htm
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O18 - Filter: text/html - {EF8A47A5-B12A-11D9-94E4-00504042256C} - C:\WINDOWS\SYSTEM\CNDDDA.DLL
O18 - Filter: text/plain - {EF8A47A5-B12A-11D9-94E4-00504042256C} - C:\WINDOWS\SYSTEM\CNDDDA.DLL

Skrevet ons. d. 20. april 2005 kl. 00:29:39| #43

kewin
kewin (17.745 point)
Jeg har prøvet at fjerne flere aboutBlank filer , men den vender tilbage har ikke fundet alle!!!
Håber på hjælp

Tak

Skrevet ons. d. 20. april 2005 kl. 00:52:40| #44

kewin
kewin (17.745 point)
Jeg kan ikke log på min hotmail og Internet bank osv (defaultASP) hvordan kommer jeg videre med det også??

Skrevet ons. d. 20. april 2005 kl. 01:09:29| #45

tonnybrandt
tonnybrandt (218.194 point)
Ok, kom lige med en ny log fra startdreck, så vi kan se at den giftige fil ikke har skiftet navn.

Skrevet ons. d. 20. april 2005 kl. 01:37:38| #46

kewin
kewin (17.745 point)
Hej

Hvor finder jeg/ downloader jeg startdreck?? Jeg er ikke hårdkogt i dette.!!
Tak

Skrevet ons. d. 20. april 2005 kl. 08:45:45| #47

tonnybrandt
tonnybrandt (218.194 point)
Du har faktisk allerede gjort det før, derfor gav jeg ikke nærmere instrukser:

Hent dette program og pak det ud til sin egen mappe:
http://www.niksoft.at/php/dl.php?f=startdreck.zip

Kør Startdreck.exe - efter lidt tid kan du trykke på "Config" - tryk "unmark all" - sæt herefter flueben i:
Registry -> Run Keys
System/drivers> Running processes
Tryk "Ok"

Tryk "Save" og gem log'en et sted, hvor du kan finde den igen. Læg log'en herind.

Skrevet man. d. 25. april 2005 kl. 10:40:38| #48

ejvindh
ejvindh (81.653 point)
www.ejvindh.net
Hej Kewin: Skal vi ikke se at få afsluttet dette problem? Det er en lidt lumsk fætter du har på din computer og det er derfor både tonnybrandt og jeg beder dig om at sende BÅDE en log fra Hijackthis og fra Startdreck. Når der går så længe mellem dine posteringer, så kan virussen nå at mutere flere gange, og de oplysninger du tidligere har givet os (i form af logs) bliver derfor forældede.

Imidlertid er der i mellemtiden blevet udviklet et værktøj, der kan hjælpe dig af med problemet på en nemmere måde (og det er IKKE det fix, jeg tidligere snakkede om at jeg selv har lavet :-)):

Download dette program
http://www.derbilk.de/SpSeHjfix109.zip

Pak SpSeHjfix ud til sin egen mappe på Skrivebordet.

Du skal have Internet Exploreren lukket ned, imens du kører dette program. Derfor er det en god ide at skrive denne instruktion ned.

Træk netstikket ud

Kør SpSeHjFix - klik på Start Disinfektion, programmet scanner, fjerner og genstarter - lad programmet starte i Normal tilstand. Gem den log, som programmet laver.

Genstart, send umiddelbart herefter en ny hijackthis log, sammen med SpSeHjFix loggen.

Skrevet tor. d. 18. august 2005 kl. 13:04:43| #49

ejvindh
ejvindh (81.653 point)
www.ejvindh.net
Jeg tror det er ved at være på tide at få lukket denne tråd... Har du stadig problemer som vi kan hjælpe dig med?

Skrevet tor. d. 16. februar 2006 kl. 16:23:39| #50


Skriv et indlæg




Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] [img]link til billede[/img]
Web- og emailadresser omdannes automatisk til links

Log ind

   


Seneste spørgsmål

Widevine Media Optimizer - og mærkelige lyde

Oprettet den 23. oktober 2014 kl. 00.21
Guldsmeden giver 30 point for svar | Giv et svar »

hjælp til at fjerne Astromenda m.fl.

Oprettet den 21. oktober 2014 kl. 21.41
2hans giver 200 point for svar | Giv et svar »

Din Avast er udløbet

Oprettet den 20. oktober 2014 kl. 07.57
carlt giver 200 point for svar | Giv et svar »

Seneste guides

Find ejeren af et vilkårligt domæne
Undgå reklamerne på iPad
Opret BOOTBAR USB pen ...





Computerworld

Teaser billede

Da Google overskred min grænse

Jeg accepterer betingelser på et splitsekund, deler personlige data på Facebook uden at se mig tilbage og forfølges gerne af reklamer. Men jeg har fundet min grænse. Den hedder Google Glass - og...

CIO

Teaser billede

Gode jobsøgningsråd: Skriv en ansøgning, der får dig til jobsamtale

En ekspert giver seks gode råd til, hvordan du skriver den perfekte ansøgning.

Comon

Teaser billede

Test: Mini-computer fra Gigabyte har overraskende meget kraft

Gigabyte's Brix Pro (GB-BXi7-4770R) har overraskende meget kraft i så lille et chassis, men størrelsen giver også problemer.

Channelworld

Teaser billede

Amerikansk it-selskab køber danske Careitec: Skal bruges til europæisk offensiv

Amerikansk it-selskab overtager dansk forhandler, der kommer til at spille en central rolle i amerikanernes europæiske offensiv.

White paper

Teaser billede

Mobility og autentificering

Aladdin eToken er et stærkt token lifecycle management-system, som understøtter to-faktor-autentificering og fungerer med VPN og kryptering.



Udgiver · © 2014 Computerworld A/S · Hørkær 18 · 2730 Herlev · Tlf.: 77 300 300 · Fax: 77 300 301 · Brug af personoplysninger