Hent og kør HijackThis og smid loggen herind. Så analyserer vi den og kommer med en vejledning til hvad du skal gøre.

http://www.spywareinfo.com/~merijn/...

okay....

Det lyder da fornemt! :-)

Dette er hvad der står i log-filen:

Logfile of HijackThis v1.97.7
Scan saved at 17:47:01, on 11-04-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSExplorer.EXE
C:WINDOWSsystem32spoolsv.exe
C:ProgrammerFælles filerSymantec SharedccEvtMgr.exe
C:ProgrammerFælles filerSymantec SharedccApp.exe
C:ProgrammerJavaj2re1.4.2_03injusched.exe
C:Program FileswebHancerProgramswhSurvey.exe
C:WINDOWSSystem32P2P NetworkingP2P Networking.exe
C:ProgrammerRVPpc.exe
C:Program FileswebHancerProgramswhAgent.exe
C:ProgrammerCommon filesupdmgrupdmgr.exe
C:ProgrammerFælles filerCMEIICMESys.exe
C:ProgrammerMSN Messengermsnmsgr.exe
C:ProgrammerNorton SystemWorksNorton AntiVirus
avapsvc.exe
C:ProgrammerNorton SystemWorksNorton UtilitiesNPROTECT.EXE
C:WINDOWSSystem32
vsvc32.exe
C:WINDOWSsystem32slserv.exe
C:PROGRA~1NORTON~1SPEEDD~1
opdb.exe
C:ProgrammerFælles filerGMTGMT.exe
C:ProgrammerMessengermsmsgs.exe
C:Documents and SettingsJWSkrivebordHijackThis.exe

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = http://www.topfivesearch.com/sidese...
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = http://www.topfivesearch.com/search...
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.msn.dk/
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar = http://www.topfivesearch.com/sidese...
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://www.topfivesearch.com/search...
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://www.topfivesearch.com/search...
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://www.topfivesearch.com/search...
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Hyperlinks
R3 - URLSearchHook: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:PROGRA~1PERFEC~1BHOPERFEC~2.DLL
O2 - BHO: (no name) - {0000607D-D204-42C7-8E46-216055BF9918} - C:WINDOWSmxTarget.dll
O2 - BHO: (no name) - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:ProgrammerDAPDAPBHO.dll
O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:PROGRA~1PERFEC~1BHOPERFEC~2.DLL
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:ProgrammerAdobeAcrobat 6.0ReaderActiveXAcroIEHelper.dll
O2 - BHO: (no name) - {63CF97E8-4133-438a-A831-CC9C6D47D673} - c:Program FilesflcpFlcp.dll
O2 - BHO: (no name) - {665ACD90-4541-4836-9FE4-062386BB8F05} - C:ProgrammerFltFlt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:ProgrammerNorton SystemWorksNorton AntiVirusNavShExt.dll
O2 - BHO: (no name) - {BDF6CE3D-F5C5-4462-9814-3C8EAC330CA8} - C:WINDOWSAdRoar.dll
O2 - BHO: (no name) - {c900b400-cdfe-11d3-976a-00e02913a9e0} - C:Program FileswebHancerprogramswhiehlpr.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWSSystem32msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:ProgrammerNorton SystemWorksNorton AntiVirusNavShExt.dll
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:ProgrammerDAPDAPIEBar.dll
O3 - Toolbar: Band Class - {BDF6CE3D-F5C5-4462-9814-3C8EAC330CA8} - C:WINDOWSAdRoar.dll
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [nwiz] nwiz.exe /install
O4 - HKLM..Run: [ccApp] "C:ProgrammerFælles filerSymantec SharedccApp.exe"
O4 - HKLM..Run: [ccRegVfy] "C:ProgrammerFælles filerSymantec SharedccRegVfy.exe"
O4 - HKLM..Run: [NeroFilterCheck] C:WINDOWSsystem32NeroCheck.exe
O4 - HKLM..Run: [SunJavaUpdateSched] C:ProgrammerJavaj2re1.4.2_03injusched.exe
O4 - HKLM..Run: [Belt] C:WINDOWSBelt.exe
O4 - HKLM..Run: [webHancer Survey Companion] "C:Program FileswebHancerProgramswhSurvey.exe"
O4 - HKLM..Run: [P2P Networking] C:WINDOWSSystem32P2P NetworkingP2P Networking.exe /AUTOSTART
O4 - HKLM..Run: [RVP] "C:ProgrammerRVPpc.exe"
O4 - HKLM..Run: [webHancer Agent] "C:Program FileswebHancerProgramswhAgent.exe"
O4 - HKLM..Run: [updmgr] C:ProgrammerCommon filesupdmgrupdmgr.exe
O4 - HKLM..Run: [CMESys] "C:ProgrammerFælles filerCMEIICMESys.exe"
O4 - HKLM..Run: [AdRoarUpdate] C:WINDOWSARUpdate.exe
O4 - HKCU..Run: [msnmsgr] "C:ProgrammerMSN Messengermsnmsgr.exe" /background
O4 - HKCU..Run: [STYLEXP] C:ProgrammerTGTSoftStyleXPStyleXP.exe -Hide
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:ProgrammerMicrosoft OfficeOffice10OSA.EXE
O8 - Extra context menu item: &Download with &DAP - C:PROGRA~1DAPdapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:PROGRA~1DAPdapextie2.htm
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:PROGRA~1MICROS~2Office10EXCEL.EXE/3000
O8 - Extra context menu item: Web Rebates - file://C:ProgrammerWebRebatesSystemTemp opr1150_script0.htm
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Run DAP (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by WebHancer
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.c...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/...

#0

Brug Ghost! Tag en Ghostbackup lige efter install, og en til når du har installeret de programmer, som er vigtigst.

Så kan man lave en reinstall på 5 min. med sikkerhed for, at en evt virus/spyware/adware er MEGADØD ;-)

/TSC

#2 Jeg har en meget kedelig melding til dig. Du har fået WebHancer på halsen, hvilket er en af de allermest forbandede og svære hijackers at få bugt med. Jeg kommer med en vejledning til dig om lidt.

#3

ok. Godt at vide til næste gang

#4

Der er altså en vej ud af det.

Det bliver min kammerat glad for at høre.

Er utroligt taknemmelig over du tager dig tid til det her.

----------------------------------------------------

mvh. Trojahn

Nå, men lad springe ud i det. Deaktiver systemgendannelse. Du skal bruge Ad-aware til at fjerne WebHancer. Sørg for at Ad-aware er opdateret med nyeste referencefiler. I Tilføj/fjern programmer-> Tilføj/fjern Windows komponenter skal du fjerne Netværkstjenester.

Åbn herefter registreringsdatabasen og find denne nøgle:

HKLM\System\CurrentControlSet\Services\Winsock2

slet denne nøgle. Det er WebHancer som infiltrerer winsock. Genstart systemet og installer netværkstjenester igen. Konfigurer en netforbindelse og se om du kan komme på nettet. Hvis du kan så lav en ny log fra HijackThis og post den. Så kan vi få fjernet de sidste ting.

#6

Han har jo lidt problemer med ad-aware, når han ikke har mulighed for at hente opdateringerne...

Den kan bare kopieres fra din PC og over til hans. Filen hedder reflist.ref og kan nemt være på en diskette.

ok.

Jeg kan nok først svare igen imorgen. Da sidder jeg ved hans computer.

Er meget taknemmelig for hjælpen her!!

Det er bare i orden. Men jeg vil dog lige advare om, at det ikke er sikkert at øvelsen lykkes. Problemet med WebHancer er at programmet infiltrerer winsock og når man forsøger på at fjerne det fungerer internettet ikke længere. Derfor skal det gøres på en meget speciel måde. Det betyder at i værste fald kan en formatering komme på tale.

Det må vi tage med. Jeg vil nu alligevel gøre et forsøg imorgen...

Inden vi begynder på alt det besværlige synes jeg vi lige skal prøve den lette måde og se om ikke den lykkes. Vent med at følge #6 indtil vi lige har prøvet dette. Deaktiver systemgendannelse. Gå i Tilføj/fjern programmer og fjern WebHancer programmet. I HijackThis sætter du flueben ved disse:

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = http://www.topfivesearch.com/sidese...
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = http://www.topfivesearch.com/search...
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar = http://www.topfivesearch.com/sidese...
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://www.topfivesearch.com/search...
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://www.topfivesearch.com/search...
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://www.topfivesearch.com/search...
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Hyperlinks
R3 - URLSearchHook: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:PROGRA~1PERFEC~1BHOPERFEC~2.DLL
O2 - BHO: (no name) - {0000607D-D204-42C7-8E46-216055BF9918} - C:WINDOWSmxTarget.dll
O2 - BHO: (no name) - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:ProgrammerDAPDAPBHO.dll
O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:PROGRA~1PERFEC~1BHOPERFEC~2.DLL
O2 - BHO: (no name) - {63CF97E8-4133-438a-A831-CC9C6D47D673} - c:Program FilesflcpFlcp.dll
O2 - BHO: (no name) - {665ACD90-4541-4836-9FE4-062386BB8F05} - C:ProgrammerFltFlt.dll
O2 - BHO: (no name) - {BDF6CE3D-F5C5-4462-9814-3C8EAC330CA8} - C:WINDOWSAdRoar.dll
O2 - BHO: (no name) - {c900b400-cdfe-11d3-976a-00e02913a9e0} - C:Program FileswebHancerprogramswhiehlpr.dll
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:ProgrammerDAPDAPIEBar.dll
O3 - Toolbar: Band Class - {BDF6CE3D-F5C5-4462-9814-3C8EAC330CA8} - C:WINDOWSAdRoar.dll
O4 - HKLM..Run: [Belt] C:WINDOWSBelt.exe
O4 - HKLM..Run: [webHancer Survey Companion] "C:Program FileswebHancerProgramswhSurvey.exe"
O4 - HKLM..Run: [webHancer Agent] "C:Program FileswebHancerProgramswhAgent.exe"
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:ProgrammerMicrosoft OfficeOffice10OSA.EXE
O8 - Extra context menu item: Web Rebates - file://C:ProgrammerWebRebatesSystemTemp opr1150_script0.htm
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by WebHancer

sørg for at alle andre programvinduer er lukket og klik på "Fix checked". Genstart i fejlsikret tilstand og find & slet følgende filer:

C:PROGRA~1PERFEC~1BHOPERFEC~2.DLL (jeg kan desværre ikke se navnet ordentligt)
C:\WINDOWS\mxTarget.dll
C:\Programmer\Flt\Flt.dll (bare fjern hele flt mappen)
c:\Program Files\flcp\Flcp.dll (bare fjern hele flcp mappen - hvis ikke du har andet i Program files så fjern denne)
C:\WINDOWS\AdRoar.dll
C:\WINDOWS\Belt.exe

tjek at hele WenHancer mappen er slettet fra Programmer, ellers slet resterende.

så genstarter du normalt. Se om IE virker og lav en ny log af HJT som jeg lige tjekker som kontrol.

Hey Armageddon!

Det hjalp. computeren fungerer perfekt nu. Men jeg fik ikke lige lavet en sidste scan inden jeg
tog afsted, så det kommer nok iaften engang.

Du skal ihvertfald have mange tak for hjælpen!

---------------------------------------------

mvh. Trojahn

Okay :)

Jeg tror at du er sluppet af med malwaren, men en kontrol er nok bedst.
Når du er tilfreds så kan du igen aktivere systemgendannelse.

Got it chief :-)

Jeg har samme problem. Her er log-filen.

Logfile of HijackThis v1.99.1
Scan saved at 20:09:15, on 03-03-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
c:PROGRA~1mcafee.comvsomcvsrte.exe
C:WINDOWSsystem32
vsvc32.exe
C:WINDOWSsystem32svchost.exe
c:PROGRA~1mcafee.comvsomcshield.exe
C:WINDOWSExplorer.EXE
C:WINDOWSsystem32CTHELPER.EXE
C:Program FilesLogitechiTouchiTouch.exe
C:Program FilesJavajre1.5.0injusched.exe
C:Program FilesArchivearchive.exe
C:WINDOWSsystem32RUNDLL32.EXE
C:Program FilesCommon FilesRealUpdate_OB ealsched.exe
C:Program FilesiTunesiTunesHelper.exe
C:PROGRA~1mcafee.comvsomcvsshld.exe
C:PROGRA~1mcafee.comagentmcagent.exe
C:WINDOWSsystem32ctfmon.exe
C:Program FilesWinZipWZQKPICK.EXE
c:progra~1mcafee.comvsomcvsescn.exe
C:Program FilesiPodiniPodService.exe
C:Program FilesEyetide MediaEyetide ViewerEyetideController.exe
C:Program FilesOpenOffice.org1.1.4programsoffice.exe
C:Program FilesMSN Messengermsnmsgr.exe
c:progra~1mcafee.comvsomcvsftsn.exe
C:Program FilesMessengermsmsgs.exe
C:WINDOWSsystem32dwwin.exe
C:Program FilesInternet Exploreriexplore.exe
?C:WINDOWSsystem32WBEMWMIADAP.EXE
C:WINDOWSSystem32 cpsvcs.exe
?C:WINDOWSsystem32WBEMWMIADAP.EXE
C:Documents and SettingsBergeonDesktopHijackThis.exe

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesAdobeAcrobat 5.0ReaderActiveXAcroIEHelper.ocx
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:progra~1mcafee.comvsomcvsshl.dll
O4 - HKLM..Run: [CTHelper] CTHELPER.EXE
O4 - HKLM..Run: [UpdReg] C:WINDOWSUpdReg.EXE
O4 - HKLM..Run: [Jet Detection] "C:Program FilesCreativeSBLivePROGRAMADGJDet.exe"
O4 - HKLM..Run: [zBrowser Launcher] C:Program FilesLogitechiTouchiTouch.exe
O4 - HKLM..Run: [SunJavaUpdateSched] C:Program FilesJavajre1.5.0injusched.exe
O4 - HKLM..Run: [Archive] C:Program FilesArchivearchive.exe
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSsystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [nwiz] nwiz.exe /install
O4 - HKLM..Run: [NvMediaCenter] RUNDLL32.EXE C:WINDOWSsystem32NvMcTray.dll,NvTaskbarInit
O4 - HKLM..Run: [CleanRam] C:Program FilesClean Ramcleanram.exe
O4 - HKLM..Run: [TkBellExe] "C:Program FilesCommon FilesRealUpdate_OB ealsched.exe" -osboot
O4 - HKLM..Run: [iTunesHelper] C:Program FilesiTunesiTunesHelper.exe
O4 - HKLM..Run: [QuickTime Task] "C:Program FilesQuickTimeqttask.exe" -atboottime
O4 - HKLM..Run: [Zone Labs Client] "C:Program Filesone LabsoneAlarmzlclient.exe"
O4 - HKLM..Run: [VSOCheckTask] "c:PROGRA~1mcafee.comvsomcmnhdlr.exe" /checktask
O4 - HKLM..Run: [VirusScan Online] "c:PROGRA~1mcafee.comvsomcvsshld.exe"
O4 - HKLM..Run: [MCAgentExe] c:PROGRA~1mcafee.comagentmcagent.exe
O4 - HKLM..Run: [MCUpdateExe] C:PROGRA~1mcafee.comagentMcUpdate.exe
O4 - HKLM..Run: [BearShare] "C:Program FilesBearShareBearShare.exe" /pause
O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe
O4 - HKCU..Run: [AtiDisplayDrv] atidrvxx.exe
O4 - HKCU..RunServices: [AtiDisplayDrv] atidrvxx.exe
O4 - Startup: Eyetide Launcher.lnk = C:Program FilesEyetide MediaEyetide ViewerEyetideController.exe
O4 - Startup: OpenOffice.org 1.1.4.lnk = C:Program FilesOpenOffice.org1.1.4programquickstart.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:Program FilesWinZipWZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0in
pjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0in
pjpi150.dll
O9 - Extra button: Adgangforalle.dk fjernbetjening - {0AD5A451-967F-46BD-9F5E-39247D7FC77F} - c:AdgangForAlleadgangforalle.exe
O9 - Extra 'Tools' menuitem: Adgangforalle.dk fjernbetjening - {0AD5A451-967F-46BD-9F5E-39247D7FC77F} - c:AdgangForAlleadgangforalle.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O12 - Plugin for .spop: C:Program FilesInternet ExplorerPluginsNPDocBox.dll
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/s.../...
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/20a6e45......
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c......
O16 - DPF: {9E98E84C-79E1-49C3-82EB-798FCD552EFB} - http://advnt01.com/dialer/internazi...
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/M......
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/s......
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:Program FilesiPodiniPodService.exe
O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:PROGRA~1mcafee.comvsomcshield.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:PROGRA~1McAfee.comAgentmcupdmgr.exe
O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - Networks Associates Technology, Inc - c:PROGRA~1mcafee.comvsomcvsrte.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:WINDOWSsystem32
vsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs LLC - C:WINDOWSsystem32oneLabsvsmon.exe