Pozzolan Skrevet 9. mai 2006 Rapporter Del Skrevet 9. mai 2006 (endret) Installere hijackthis Klikk for å se/fjerne innholdet nedenfor 1. Last ned Hijackthis 2. Unzip mappen 3. Lag en ny mappe i "Programfiler" eller "Program Files" og kall den "hijackthis" eller ett annet beskrivende navn. Mappen kan også være på skrivebordet, bare du ikke sletter den med en gang. 4. Flytt/kopier hijackthis.exe til mappen du nettop opprettet. Grunnen til dette er at du nå har anledning til å angre endringene du har gjort med hijackthis. 5. Hvis du vil kan du lage deg en snarvei til hijackthis ved å høyreklikke på "hijackthis.exe" og velg "Lag snarvei" eller "Make shortcut" Denne snarveien kan du kopiere/flytte til hvor du vil. Lage en hijackthis logg Klikk for å se/fjerne innholdet nedenfor Hvis du har laget en snarvei er det bare å trykke på denne og hijackthis vil starte. Hvis ikke må du navigere til mappen du flyttet hijackthis og trykke på filen "hijackthis.exe" Så velger du "Do a system scan and save a logfile" Etter noen sekunder kommer det opp et nytt vindu i notepad. Dette vinduet inneholder loggen du skal poste på forumet. Marker hele filen ved å trykke "Ctrl+A" etter det så kopierer du innholdet ved å trykke " Ctrl+C" Lag et nytt emne, der kan du gjerner beskriver problemet ditt i korte trekk. Så limer du inn hijackthis.log inn på posten slik som dette. Logfile of HijackThis v1.99.1 Scan saved at 17:06:11, on 08.09.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programfiler\Sygate\SPF\smc.exe C:\WINDOWS\system32\spoolsv.exe c:\programfiler\fellesfiler\logitech\lvmvfm\LVPrcSrv.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\system32\LVCOMSX.EXE C:\Programfiler\Logitech\Video\CameraAssistant.exe C:\WINDOWS\system32\ElkCtrl.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programfiler\Java\jre1.5.0_07\bin\jusched.exe C:\Programfiler\Ahead\InCD\InCD.exe C:\Programfiler\MSN Messenger\MsnMsgr.Exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\Documents and Settings\Kenneth\Skrivebord\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://stealthy.foolishgames.net/news.php R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koblinger O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programfiler\Java\jre1.5.0_07\bin\ssv.dll O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE O4 - HKLM\..\Run: [LogitechCameraAssistant] C:\Programfiler\Logitech\Video\CameraAssistant.exe O4 - HKLM\..\Run: [LogitechVideo[inspector]] C:\Programfiler\Logitech\Video\InstallHelper.exe /inspect O4 - HKLM\..\Run: [LogitechCameraService(E)] C:\WINDOWS\system32\ElkCtrl.exe /automation O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Programfiler\RivaTuner v2.0 RC 16\RivaTuner.exe" /S O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKCU\..\Run: [MsnMsgr] "C:\Programfiler\MSN Messenger\MsnMsgr.Exe" /background O8 - Extra context menu item: Write a Review... - http://client.alexa.com/holiday/script/actions/review.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.5.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.5.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\System32\shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programfiler\fellesfiler\logitech\lvmvfm\LVPrcSrv.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programfiler\Sygate\SPF\smc.exe Når du har gjort dette er det bare å vente på svar. Slette oppføringer med hijackthis: Klikk for å se/fjerne innholdet nedenfor Kjør hijackthis.exe. Velg "Do a system scan only" 1. Kryss av for de oppførningene du vil slette. 2. Trykk på knappen "Fix checked" 3. Trykk Ja/yes for å fjerne oppførningene. Du er ferdig. Etter du har gjort dette poster du en ny log i emnet ditt slik at de som hjelper deg kan se at alt er i orden. Slå av systemgjenoppretning Klikk for å se/fjerne innholdet nedenfor Man blir ofte bedt om å sla av systemgjenoppretning når man fjerner malware. Dette er for at malwaren ikke skal gjennoprette seg selv. Her er en bildeguide som viser frammgangsmåten. Sikkermodus Klikk for å se/fjerne innholdet nedenfor Man blir ofte bedt om å starte maskinen i sikkermodus når man skal fjerne virus eller lignende. Grunnen til det er at når maskinen starter i sikkermodus starter bare de nødvendigste prossessene/programmene i windows. Det vil si at i de fleste tilfeller starter ikke programmet vi vil fjerne heller da det ikke er en av de nødvendigste programmene i windows. Det finnes to måter å starte i sikkermodus som jeg vet om. F8 metoden: Trykk på F8 tasten når du starter maskinen. Rett etter at BIOSen er ferdig med oppgavene sine. Windows 2000 norsk versjon Klikk for å se/fjerne innholdet nedenfor Har du Windows 2000 norsk versjon kommer denne listen opp etter at du har trykket på F8 tasten: Meny for avanserte alternativer for Windows 2000 Velg et alternativ: Sikkermodus Sikkermodus med nettverk Sikkermodus med bare kommandolinjen Aktiver oppstartslogging Aktiver VGA-modus Siste fungerende konfigurasjon Gjenopprettingsmodus for katalogtjenester (bare Windows 2000-DCer) Feilsøkingsmodus Start opp på vanlig måte Tilbake til menyen for valg av operativsystem Bruk Pil opp og Pil ned for å flytte til ditt valg. Trykk Enter for å velge. Du skal velge alternativet der det står "Sikkermodus med nettverk" for så å trykke Enter Windows 2000 engelsk versjon Klikk for å se/fjerne innholdet nedenfor Har du Windows 2000 EN så kommer denne listen opp etter at du har trykket på F8 Windows 2000 Advanced Options Menu Please select an option: Safe Mode Safe Mode with Networking Safe Mode with Command Prompt Enable Boot Logging Enable VGA Mode Last Known Good Configuration Directory Services Restore Mode (Windows 2000 domain controllers only) Debugging Mode Boot Normally Return to OS Choices Menu Use Up arrow and Down arrow to move the hightlight to your choice. Press Enter to choose. Alternativet du skal velge er alternativet det står "Safe Mode with Networking", trykk så enter Windows XP norsk versjon Klikk for å se/fjerne innholdet nedenfor Har du Windows XP norsk versjon kommer denne listen opp etter at du har trykket på F8 tasten: Sikkermodus Sikkermodus med nettverkstjeneste Sikkermodus med kommandolinje Aktiver VGA-modus Den siste fungerende konfigurasjonen Gjenopprettingsmodus for katalogtjenester Feilsøkingsmodus Aktiver oppstartslogging Start Windows på vanlig måte Omstart Du skal velge alternativet der det står "Sikkermodus med nettverk" for så å trykke Enter Windows XP engelsk versjon Klikk for å se/fjerne innholdet nedenfor Har du Windows XP engelsk versjon kommer denne listen opp etter at du har trykket på F8 tasten: Windows Advanced Options Menu Please select an option: Safe Mode Safe Mode with Networking Safe Mode with Command Prompt Enable Boot Logging Enable VGA mode Last Known Good Configuration (your most recent settings that worked) Directory Services Restore Mode (Windows domain controllers only) Debugging Mode Start Windows Normally Reboot Return to OS Choices Menu Use the up and down arrow keys to move the highlight to your choice. Du skal velge alternativet der det står "Safe Mode with Networking" for så å trykke Enter. Den andre metoden for å starte i sikkermodus er denne: Åpne startmenyen gå til Kjør -> skriv msconfig -> boot.ini -> huk av for /SAFEBOOT Automatisk analyse av hijackthis logger Det kan du gjøre her og her. Merk: Disse er ikke 100% feilfrie. Spør om råd hvis du er usikker! Selvhjelp Hvordan bruke Ewido Hvordan fjerne kjente trussler QUICK FIX PROTOCOL GENERAL Virus and Trojan removal Instructions. PS: Si i fra hvis du ser en leif, jeg blir ikke sur! Endret 5. november 2006 av stealthy Lenke til kommentar
Pozzolan Skrevet 9. mai 2006 Forfatter Rapporter Del Skrevet 9. mai 2006 (endret) Hvordan fjerne CoolWebSearch Klikk for å se/fjerne innholdet nedenfor 1. Last ned CWShreddrR2. Slå på maskinen i sikkermodus. 3. Dobbeltklikk på CWShredder.exe for å kjøre programmet. 4. Trykk på "I agree" så trykker du på "Fix" og til slutt trykker du Next" Når du er ferdig, avslutt CWShredder og restart maskinen. Hvordan fikse internetten hvis den er i ustand etter malware Klikk for å se/fjerne innholdet nedenfor 1. Last ned WinSock XP Fix 2. Kjør programmet og dette vinduet kommer opp: 3. Trykk så på fix, til slutt trykker du på ja 3. Når du har gjort dette begynner maskinen å tenke litt og du får opp denne meldingen: 4. Restart maskinen og problemet skal være løst. Online virus scan Klikk for å se/fjerne innholdet nedenfor Panda activescan Trend Micro HouseCall Hvordan bruke SmitFraudFix Klikk for å se/fjerne innholdet nedenfor Last ned SmitfraudFix_En 2. Unzip mappen 3. Åpne mappen du unzippet programmet til å kjør "SmitfraudFix.cmd" 4. Trykk 1 for så å trykke enter for å lage en logg. Loggen finner man vanligvis på C:\rapport.txt. 5. Start maskinen i sikkermodus. 6. Kjør smitfraudfix.cmd 7. Trykk 2 for så å trykke enter for å slette de infiserte filene. 8. Du får ett spårsmål om: Do you want to clean the registry ? svar Y (ja) og trykk enter for å fjerne skrivebordsbakgrunnen og rense registeret for infeksjoner. 9. Programmet vil så sjekke om wininet.dll er infisert. Du blir kanskje spurt om å erstatte den infiserte filen (hvis den er infisert) "Replace infected file" ? svar Y (ja) og trykk enter for å erstatte filen. 10. Du må kanskje restarte maskinen for å fullføre rensingen. Rapporten som blir laget finner du på C:\rapport.txt . Denne poster du i emmnet ditt. Merk: Hvis du får en melding om at process.exe er et virus så er ikke dette tilfellet. process.exe brukes til å stoppe prosesser og er ikke en trussel i denne sammenhengen. Endret 5. november 2006 av stealthy Lenke til kommentar
am3k Skrevet 5. september 2006 Rapporter Del Skrevet 5. september 2006 Det finnes flere tjenester som gir deg mulighet til autosjekk av hijackthis loggene. Disse vil om ikke annet gi deg en pekepinn på hva du kan sjekke ut videre (t.d. ved søk i google på filnavn osv.) HijackThis log file analysis HiJackThis! Log auto analyzer V2 En titt gjennom denne lille guiden kan også være greit: How To Analyze HijackThis Logs Lenke til kommentar
Pozzolan Skrevet 5. september 2006 Forfatter Rapporter Del Skrevet 5. september 2006 Det finnes flere tjenester som gir deg mulighet til autosjekk av hijackthis loggene. Disse vil om ikke annet gi deg en pekepinn på hva du kan sjekke ut videre (t.d. ved søk i google på filnavn osv.) HijackThis log file analysis HiJackThis! Log auto analyzer V2 En titt gjennom denne lille guiden kan også være greit: How To Analyze HijackThis Logs 6809617[/snapback] Vil bare påpeke at autosjekkene av hijackthis loggene ikke alltid er 100% korrekte. Så er du i tvil er det bare å spørre. Lenke til kommentar
Pozzolan Skrevet 8. september 2006 Forfatter Rapporter Del Skrevet 8. september 2006 Guiden er oppdatert! Tilbakemeldinger ønskes! Lenke til kommentar
berxter Skrevet 8. september 2006 Rapporter Del Skrevet 8. september 2006 (endret) Fin den. Kanskje du skulle legge til noen flere "hjelp til selvhjelp"-linker først, f. eks http://www.wilderssecurity.com/showthread.php?t=50662, http://aumha.org/a/quickfix.htm ellers blir det samma gamle tralten med Ewido, Panda, Housecall, SmitFraudFix gang etter gang... Bernt K Endret 8. september 2006 av berxter Lenke til kommentar
Pozzolan Skrevet 9. september 2006 Forfatter Rapporter Del Skrevet 9. september 2006 (endret) Done. Noe mer som burde være med? Endret 9. september 2006 av stealthy Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå