Just nu i M3-nätverket
Jump to content

Hur låsa startsidan?


Lennart Lönnebyads

Recommended Posts

Det ser ju ut som du gör som det är meningen, konstigt???

 

Pröva så här i stället:

I Besvara-fönstret så klistrar du in loggen, sedan markerar du hela loggen (Skift-tangent + pilar eller drar med musen över hela loggen) och tryck sedan på LOG-knappen.

eller att du skriver in direkt vad det är meningen att LOG-knappen ska göra, dvs först skriver du [ LOG ] (utan mellanrummen), klistrar in loggen efter ] och efter loggen skriver du [ /LOG ] (utan mellanrummen).

 

Link to comment
Share on other sites

Lennart Lönnebyads

[LOLogfile of HijackThis v1.98.2

Scan saved at 17:20:51, on 2004-12-03

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\svchost.exe

C:\NORMAN\Nvc\BIN\NPFSVICE.EXE

C:\Norman\Nvc\BIN\Zanda.exe

C:\WINDOWS\system32\MSTask.exe

C:\WINDOWS\system32\stisvc.exe

C:\WINDOWS\System32\WBEM\WinMgmt.exe

C:\WINDOWS\System32\mspmspsv.exe

C:\WINDOWS\system32\svchost.exe

C:\NORMAN\Nvc\BIN\NJEEVES.EXE

C:\NORMAN\Nvc\BIN\NVCSCHED.EXE

C:\NORMAN\Nvc\BIN\nipsvc.exe

C:\NORMAN\Nvc\BIN\nvcoas.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system\hplampc.exe

C:\Program\Real\RealPlayer\RealPlay.exe

C:\Program\Winamp3\winampa.exe

C:\NORMAN\Nvc\BIN\ZLH.EXE

C:\Program\iTunes\iTunesHelper.exe

C:\Program\QuickTime\qttask.exe

C:\WINDOWS\system32\internat.exe

C:\NORMAN\Nvc\BIN\NYMSE.EXE

C:\NORMAN\Nvc\BIN\NIP.EXE

C:\NORMAN\Nvc\BIN\cclaw.exe

C:\Program\iPod\bin\iPodService.exe

C:\NORMAN\Nvc\BIN\npfmsg2.exe

C:\unzipped\hijackthis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.bredband.net/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy1.telia.com:8080

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program\SPYBOT~1\SDHelper.dll

O3 - Toolbar: @msdxmLC.dll,-1@1053,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [Aktivitetsfältet] SysTray.Exe

O4 - HKLM\..\Run: [RealTray] C:\Program\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER

O4 - HKLM\..\Run: [WinampAgent] "C:\Program\Winamp3\winampa.exe"

O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH

O4 - HKLM\..\Run: [iTunesHelper] C:\Program\iTunes\iTunesHelper.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

 

G]

 

Jag har valt att enbart skicka loggfil 1 - Jag tycker att alla rader som skulle bort är borta ...

 

I vilket fall så starta om datorn och ta ut en ny logg och skicka hit den (också) - Alltså starta om - scan - save log O.K.? Skicka log O.K.?

 

MVH

 

Lennart

 

Link to comment
Share on other sites

Alldeles rätt alla rader som skulle bort är borta! :thumbsup:

Så starta nu om, skanna med HijackThis, spara loggen och skicka hit den så får vi se om allt fortfarande är borta. Jag håller tummarna! ;)

 

Link to comment
Share on other sites

När du klistrar in loggen så skall det se ut så här (fast utan mellanslaget... efter [

[ LOG]

...loggfilen...

...loggfilen...

...loggfilen...

...loggfilen...

...loggfilen...

...loggfilen...

[ /LOG]

 

På ditt senaste inlägg ser det ju ut så här:

[LOLogfile of HijackThis v1.98.2

 

Dvs. Du har klistat in loggen fel. Kontrollerar också att du inte har "skriv över läget på" genom att trycka på insert på tangentbordet

 

--

[Esc]

 

Link to comment
Share on other sites

Lennart Lönnebyads

Cecilia!

 

Jag förstår inte dina instruktioner ...

 

Det är möjligt (snarare troligt) att jag klistrat in loggen fel, men för mig verkar den ju synas O.K. ???

 

LOG - Klistra in - LOG - Skapa inlägget ... ???

 

MVH

 

"Novisen"

 

Link to comment
Share on other sites

men för mig verkar den ju synas O.K. ???

 

Jo, och för alla andra också. Meningen med LOG-taggar kring din långa textmassa är för att det inte ska skrymma eforum.

 

Link to comment
Share on other sites

Cecilia!

 

Jag förstår inte dina instruktioner ...

De där instruktionerna är inte från mig utan från [Esc].

Men jag väntar ivrigt på loggen efter omstart av datorn, oavsett hur den är inklistrad. :thumbsup:

 

Link to comment
Share on other sites

Lennart Lönnebyads

Cecilia! Ber om ursäkt - jag hade för bråttom ...

 

Loggfil 2 - Tyvärr verkar det som om "ingenting har hänt" ...

 

[log]Logfile of HijackThis v1.98.2

Scan saved at 13:15:13, on 2004-12-06

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\svchost.exe

C:\NORMAN\Nvc\BIN\NPFSVICE.EXE

C:\Norman\Nvc\BIN\Zanda.exe

C:\WINDOWS\system32\MSTask.exe

C:\WINDOWS\system32\stisvc.exe

C:\WINDOWS\System32\WBEM\WinMgmt.exe

C:\WINDOWS\System32\mspmspsv.exe

C:\WINDOWS\system32\svchost.exe

C:\NORMAN\Nvc\BIN\NJEEVES.EXE

C:\NORMAN\Nvc\BIN\nvcoas.exe

C:\NORMAN\Nvc\BIN\nipsvc.exe

C:\NORMAN\Nvc\BIN\NVCSCHED.EXE

C:\WINDOWS\system\hplampc.exe

C:\WINDOWS\Explorer.EXE

C:\Program\Real\RealPlayer\RealPlay.exe

C:\Program\Winamp3\winampa.exe

C:\NORMAN\Nvc\BIN\ZLH.EXE

C:\Program\iTunes\iTunesHelper.exe

C:\Program\QuickTime\qttask.exe

C:\WINDOWS\system32\internat.exe

C:\Program\iPod\bin\iPodService.exe

C:\NORMAN\Nvc\BIN\NYMSE.EXE

C:\NORMAN\Nvc\BIN\NIP.EXE

C:\NORMAN\Nvc\BIN\cclaw.exe

C:\NORMAN\Nvc\BIN\npfmsg2.exe

C:\unzipped\hijackthis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.bredband.net/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy1.telia.com:8080

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: (no name) - {3E7ECE57-2436-4731-8AEE-47D90FD9499F} - C:\WINDOWS\system32\mmpml.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program\SPYBOT~1\SDHelper.dll

O3 - Toolbar: @msdxmLC.dll,-1@1053,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [Aktivitetsfältet] SysTray.Exe

O4 - HKLM\..\Run: [RealTray] C:\Program\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER

O4 - HKLM\..\Run: [WinampAgent] "C:\Program\Winamp3\winampa.exe"

O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH

O4 - HKLM\..\Run: [iTunesHelper] C:\Program\iTunes\iTunesHelper.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

O18 - Filter: text/html - {D316A69E-8803-4957-ADF1-5DCA2110AD83} - C:\WINDOWS\system32\mmpml.dll

O18 - Filter: text/plain - {D316A69E-8803-4957-ADF1-5DCA2110AD83} - C:\WINDOWS\system32\mmpml.dll[/log]

 

[inlägget ändrat 2004-12-06 13:52:56 av Erik Junesjö]

Link to comment
Share on other sites

Det var mig en besvärlig rackare! ;)

Men det är faktiskt en otrevlig rad mindre även denna gång! :thumbsup:

Så det blir allt bättre. :)

 

Vi försöker med det här då:

Ta bort anslutningen till internet, t ex genom att dra ut kabeln.

 

I kontrollpanelen välj Internet-alternativ

På fliken Allmänt klicka på Ta bort filer, bocka i rutan Ta bort allt offlineinnehåll och tryck på OK och tryck igen på OK.

 

Starta om datorn i felsäkert läge genom att trycka F8 upprepade gånger under uppstarten.

Se om du kan hitta filen

C:\WINDOWS\system32\mmpml.dll

i så fall ta bort den.

 

[log]Kör HijackThis (inga andra program!), skanna och bocka för följande rader:

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O2 - BHO: (no name) - {3E7ECE57-2436-4731-8AEE-47D90FD9499F} - C:\WINDOWS\system32\mmpml.dll

O18 - Filter: text/html - {D316A69E-8803-4957-ADF1-5DCA2110AD83} - C:\WINDOWS\system32\mmpml.dll

O18 - Filter: text/plain - {D316A69E-8803-4957-ADF1-5DCA2110AD83} - C:\WINDOWS\system32\mmpml.dll

 

Om de tre sista raderna här ovanför inte finns exakt, så ta de som är mest lika, dvs börjar med O2 resp. O18.

 

Tryck Fix checked

 

Starta om i normalt läge.

Kör HijackThis, skanna, spara loggen och skicka hit den.

[/log]

Blev det förståeligt den här gången?

 

Link to comment
Share on other sites

Lennart Lönnebyads

Cecilia!

 

Klart som "korvspad" (heter det så?)

 

Du är otrolig, jag tror att du har gett dig f-n på att knäcka det här ... STORT TACK !!!!

 

MVH

 

Lennart

 

 

P.S. Var i det "felsäkra" läget kan jag ev. finna C:WINDOWS\System 32\ o.s.v. ???

 

D.S.

[inlägget ändrat 2004-12-06 18:26:26 av Lennart Lönnebyads]

Link to comment
Share on other sites

Det är klart att du ska bli av med allt otrevligt och få en frisk dator igen! :thumbsup:

Och du lär dig en massa om din dator samtidigt också, ännu bättre!

;)

 

Angående C:\WINDOWS\system32\mmpml.dll så öppnar du Den här datorn eller Utforskaren och flyttar dig stegvis till C:, mappen Windows och mappen system32 och ser om där finns en fil som heter mmpml.dll och i så fall försöker du ta bort den. Och felsäkert läge var du ju inne i natten till den 3:e december.

 

Link to comment
Share on other sites

Lennart Lönnebyads

Cecilia!

 

Jag har varit inne i Utforskaren (normal läge) - C:\Windows\System 32 och hittat något som kallas för programtillägg och som har en symbol som ser ut som två kugghjul och som heter mmpml.dll ...

 

Är det denna som ev. skall finnas i felsäkert läge och som skall tas bort?

 

Svar till sign. "Osäker"

 

Link to comment
Share on other sites

Du behöver inte vara så osäker. ;)

Det är precis den filen som ska bort fast efter att du har startat om i felsäkert läge.

 

Tillägg: Jag ser nu att våra inlägg börjar komma i fel ordning. Det kan bli så ibland när det blir en lång rad med inlägg efter varandra. Därför skulle jag föreslå att ditt nästa inlägg skriver du som ett svar till ditt allra första inlägg, dvs du trycker inte på Besvara som hör ihop med det här inlägget utan på Besvara för ditt allra första inlägg den 30 nov.

[inlägget ändrat 2004-12-07 11:48:06 av Cecilia]

Link to comment
Share on other sites

Lennart Lönnebyads

Vill ju vara säker på att jag inte gör några "major" nu när vi har kommit så långt ... "Felsäkert läge", vilket underbart ord. Heter det "helsäkert läge" i normalfallet (IRONI) ...

 

Det här tycker jag såg "spännande" ut:

 

[LOLogfile of HijackThis v1.98.2

Scan saved at 19:40:07, on 2004-12-07

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\svchost.exe

C:\NORMAN\Nvc\BIN\NPFSVICE.EXE

C:\Norman\Nvc\BIN\Zanda.exe

C:\WINDOWS\system32\MSTask.exe

C:\WINDOWS\system32\stisvc.exe

C:\WINDOWS\System32\WBEM\WinMgmt.exe

C:\WINDOWS\System32\mspmspsv.exe

C:\WINDOWS\system32\svchost.exe

C:\NORMAN\Nvc\BIN\NJEEVES.EXE

C:\NORMAN\Nvc\BIN\nvcoas.exe

C:\NORMAN\Nvc\BIN\nipsvc.exe

C:\NORMAN\Nvc\BIN\NVCSCHED.EXE

C:\WINDOWS\system\hplampc.exe

C:\WINDOWS\Explorer.EXE

C:\Program\Real\RealPlayer\RealPlay.exe

C:\Program\Winamp3\winampa.exe

C:\NORMAN\Nvc\BIN\ZLH.EXE

C:\Program\iTunes\iTunesHelper.exe

C:\Program\QuickTime\qttask.exe

C:\WINDOWS\system32\internat.exe

C:\Program\iPod\bin\iPodService.exe

C:\unzipped\hijackthis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.bredband.net/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy1.telia.com:8080

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program\SPYBOT~1\SDHelper.dll

O3 - Toolbar: @msdxmLC.dll,-1@1053,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [Aktivitetsfältet] SysTray.Exe

O4 - HKLM\..\Run: [RealTray] C:\Program\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER

O4 - HKLM\..\Run: [WinampAgent] "C:\Program\Winamp3\winampa.exe"

O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH

O4 - HKLM\..\Run: [iTunesHelper] C:\Program\iTunes\iTunesHelper.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

 

G]

 

Link to comment
Share on other sites

Jag skriver mitt svar här eftersom våra inlägg började komma i oordning i den långa tråden.

 

Tyvärr är väl snarare normalt läge ett osäkert läge. ;)

 

Din logg ser ju jättefin ut, grattis!!! Bra jobbat!!! :thumbsup:

 

Så då är det dags att tänka lite framåt för att slippa råka ut för problem framöver. Fortsätt att köra Ad-aware och Spybot regelbundet, och uppdatera dem varje gång.

 

Gå igenom säkerhetsinställningarna i Internet Explorer och ställ in så att zonen Internet inte har lov att göra så mycket med din dator, t ex inga nedladdningar eller körningar av något utan att fråga först. Är det någon webbplats som du besöker mycket så lägg till den i zonen Tillförlitliga platser så blir det inte så många frågor från den. Liksom om det är någon som verkligen behöver göra något med din dator som t ex Windows Update.

 

SpywareBlaster och SpywareGuard är två bra program som hindrar Internet Explorer från att ladda hem resp. starta en del otrevliga program. Man hittar dem här:

http://www.javacoolsoftware.com/products.html

 

IE-SpyAd lägger en massa otrevliga webbplatser i zonen för Ej tillförlitliga platser i Internet Explorer och hindrar därmed de webbplatserna från att göra så mycket med din dator om du skulle stöta på en sådan länk någon gång. Programmet hittar man här:

https://netfiles.uiuc.edu/ehowes/www/resource.htm

 

 

Link to comment
Share on other sites

Lennart Lönnebyads

Cecilia!

 

Utgår från att du nu anser (tror) att mitt "problem" är löst ...

 

Det ser bra ut, men jag vill vänta ytterligare ett par dagar innan jag ropar hej, "hoppar över bäcken" och officiellt tackar dig för hjälpen ...

 

Orsaken är att jag var i det läget (korrekt startsida) för ett par dagar sedan, men då "höll" det bara i en ½ dag ...

 

Körde förresten SpyBot på nytt och fick förutom DSO Exploit (2 entries) - "buggen", ut Global Internet Billing (1 entries) - HKEY_USERS\DEFAULT\Software\GIB (Registernyckel) - förmodar att jag får lära mig att "leva" med den ...

 

Frågor:

 

Filen mmplm.dll ligger kvar i papperskorgen - den tömmer vi väl nu?

 

De tre ändringarna vi gjorde i Utforskaren-Verktyg-Mappalternativ - Visning - kan vi återställa dem nu?

 

Rekommenderar du nedladdning av SpywareBlaster, SpywareGuard och IE-SpyAd med tanke på att jag ju faktiskt har både virusskydd och brandvägg?

 

Slutligen är man ju nyfiken på hur omfattande mitt "problem" var. Att filen mmplm.dll var med på ett "hörn" har man ju förstått ...?

 

Cecilia, kan (vill) du ge mig ett privat (personligt email) svar på allt detta?

 

MVH

 

Lennart

 

P.S. Kl. 17.10 - SORRY! - DET HAR REDAN SPRUCKIT ...

 

 

 

[inlägget ändrat 2004-12-08 17:12:40 av Lennart Lönnebyads]

Link to comment
Share on other sites

Det är klart att vi får se om det fortsätter att se bra ut. Men det är det första loggen efter en omstart som ser bra ut, den förra hade du inte startat om datorn innan du tog ut.

 

Spybot kunde inte fixa till GIB-nyckeln? Du kan ju försöka att gå in och manuellt ta bort den ur registret, men det är lite vanskligt. Du kan också köra Spybot från felsäkert läge (nu när du vet vad det är), det kan vara lättare för Spybot att rensa då.

 

Papperskorgen kan du tömma nu.

 

Mappalternativ - visning är en smaksak om du vill ha kvar. Det gör inget att ha det inställt om du har nu, det har jag. Jag anser att det definitivt är bra att alltid se filnamnstillägg eftersom det förekommer otrevliga program som låtsas vara något ofarligt genom att kalla sig t ex kul.txt.exe och så är det någon som ser det som kul.txt och tror att det är en ofarlig textfil medan det i själva verket är ett otrevligt program.

 

Jag rekommenderar de 3 programmen fast du har virusskydd och brandvägg, som du har märkt så hjälper det inte mot allt, och med de 3 programmen så har du fått ett bättre skydd, även om det förstås inte är 100%-igt ändå.

 

Jag kan säga så här att om CWShredder hittade 19 grejer liksom Spybot så är det ett ganska stort angrepp, men betydligt mindre än när jag rensade kompisens sons dator där det var långt över 100. Om jag tittar på din första HijackThis-logg (och då hade du ju redan rensat bort mycket) så finns det något som ställer om dina start- och sökinställningar i Internet Explorer, två programtillägg som anser sig vara hjälpprogram till Internet Explorer (den ena det som så småningom blir mmplm .dll och den ser också till att få reda på allt du gör i IE genom O18 - Filter-raderna också) samt något som har lagt sig som ett protokoll mot internet (O18 - protocol).

 

Jag skriver här för det kan nog vara bra för andra att läsa detta också.

 

Link to comment
Share on other sites

Det var ju tråkigt!

Då är jag ledsen men då överstiger problemet mina begränsade kunskaper, men det finns andra som är duktigare. Så vänd dig till det här forumet:

http://pcsupport.idg.se/Threads.asp?forumid=410

där t ex Zipp är mycket duktig.

Eller hit till det svenska forum som tillverkaren av Ad-aware har:

http://www.lavasoftsupport.com/index.php?s=66457b714d57fd6cb84adc58c3f81b4f&showforum=17

de brukar också vara mycket duktiga.

 

Link to comment
Share on other sites

Lennart Lönnebyads

Cecilia!

 

Jag förstår om du har ledsnat, det har jag också. Emellertid vill jag än en gång tacka dig för allt jobb du lagt ned på mig. STORT TACK!!!

 

En sista fråga:

 

Jag körde SpyBot på nytt och fick nu upp även den "gamla" WebDialern (1 entries) HKEY_USERS\S-1-5-21 1177238915-113007714-1343 (Registervärde). Kan jag även ta bort denna i det felsäkra läget?

 

MVH

 

Lennart

 

Link to comment
Share on other sites

När det gäller Spybot så är det bara att pröva om den kan ta bort mer i felsäkert läge. Du kan ju inte förstöra något genom att försöka.

 

Ledsnat är fel ord jag skulle gärna fortsätta, men jag märker att mina begränsade kunskaper inte räcker till i det här fallet, men jag tycker inte om att ge upp så här kommer lite frågor för dig att besvara.

 

Förstår jag dig rätt om det är så här:

Du startar om datorn och tar ut en HijackThis-logg som är ren.

Du startar Internet Explorer utan att det blir några konstigheter och lägger ut ditt svar här i Eforum.

Sen går det en stund och så börjar Internet Explorer uppföra sig konstigt.

Vad gör du/datorn under den här stunden?

Hur märker du att du har fått in de otrevliga programmen på nytt?

Du ber väl CWShredder att fixa det den hittar?

Lista allt CWShredder säger att den hittar.

Pröva att köra CWShredder i felsäkert läge också och se om det blir någon förändring.

Installera SpywareBlaster och SpywareGuard.

 

Ladda hem följande program:

http://www.eudaemonia.me.uk/downloads/Files/DllCompare.exe

Kör programmet och klicka på "Run Locate.com".

Klicka på "Compare" och vänta tills den är klar.

Klicka på "Make log of what was found". Välj Ja för att se på loggen, den kommer då upp i Anteckningar så att du därfrån kan klistra in innehållet här.

 

Starta programmet Anteckningar.

Kopiera in denna text i Anteckningar:

Reg save "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows" windows1.hiv

ren windows1.hiv windows.txt

 

Välj Arkiv - Spara som i Anteckningar och välj att spara filen på Skrivbordet med namnet Appinit.bat och sätt Filformat till Alla filer innan du trycker på Spara-knappen. Avsluta Anteckningar.

Dubbelklicka på Appinit.bat på Skrivbordet då ska en ny loggfil skapas där som heter Windows.txt. Dubbelklicka på den så att den öppnas så att du kan kopiera hit innehållet.

 

Ta ut en ny HijackThis-logg och skicka hit den tillsammans med loggen från DllCompare, windows.txt och svaren på ovanstående frågor.

 

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...