iexplore.exe feilmelding i WinXP

[Kneipp]

Prøver å ordne opp i skiten på pcen til en bekjent.

Den har fått en trojan som Norton Internet security klarte å fjerne.

Men jeg får likevel ikke startet IE, den krasjer med meldingen "Internett explorer har et problem og må lukkes"

 

Har avinstallert NIS og installert AVG free i stedet, kjørt ad aware, ccleaner, cwshredder, spybot s&d, windows defender og oppdatert IE til versjon 7 uten at det hjelper.

 

Synes pcen virker ganske kjapp etter dette, men jeg får som sagt ikke startet IE.

 

Her er log fra Hijackthis:

 

Logfile of Trend Micro HijackThis v2.0.0 (BETA)

Scan saved at 20:58:37, on 13.05.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Programfiler\Windows Defender\MsMpEng.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Programfiler\Logitech\iTouch\iTouch.exe

C:\WINDOWS\system32\rundll32.exe

C:\Programfiler\Windows Defender\MSASCui.exe

C:\PROGRA~1\Grisoft\AVG7\avgcc.exe

C:\WINDOWS\system32\ctfmon.exe

C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

C:\Programfiler\Fellesfiler\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Programfiler\Telenor\Online Start\Telenor.exe

C:\Programfiler\Fellesfiler\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\Documents and Settings\User\Skrivebord\HiJackThis_v2.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koblinger

O2 - BHO: (no name) - {6DBD637B-72FF-D5C0-58CA-00F3ECE6247E} - C:\WINDOWS\system32\hkuwjyl.dll

O2 - BHO: (no name) - {7440F9A0-2C55-4987-A70F-D7A9AC168842} - C:\WINDOWS\system32\oppnk.dll (file missing)

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programfiler\Fellesfiler\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: (no name) - {B75E00FE-278D-44B7-94D6-022F3F0C9B3D} - C:\WINDOWS\system32\ddcyw.dll (file missing)

O2 - BHO: Online Start Plugin - {DB87CDE1-EF9C-44EB-A42F-6D0B3C72C516} - C:\Programfiler\Telenor\Online Start\IEFixItNowPlugin.dll

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programfiler\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [acqpeyk.dll] C:\WINDOWS\system32\rundll32.exe "C:\Documents and Settings\User\Lokale innstillinger\Programdata\acqpeyk.dll",wbonble

O4 - HKLM\..\Run: [Windows Defender] "C:\Programfiler\Windows Defender\MSASCui.exe" -hide

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [Telenor Online Start] "C:\Programfiler\Telenor\Online Start\Telenor.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Programfiler\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKAL TJENESTE')

O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'LOKAL TJENESTE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETTVERKSTJENESTE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Oppslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O20 - Winlogon Notify: ddcyw - C:\WINDOWS\system32\ddcyw.dll (file missing)

O20 - Winlogon Notify: opnmmll - opnmmll.dll (file missing)

O20 - Winlogon Notify: oppnk - C:\WINDOWS\system32\oppnk.dll (file missing)

O20 - Winlogon Notify: winahs32 - winahs32.dll (file missing)

O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

 

--

End of file - 5204 bytes

 

 

Noen som har tips hva dette kan være?

[norbat]

Hent Vundofix, start programmet og klikk "Scan for Vundo"-knappen.

Når programmet er kjørt ferdig, klikker du på knappen "Remove vundo".

Loggen, som du poster senere, finnes vanligvis på C:\vundofix.txt

 

Hent SAS, installer, oppdater og kjør en full (Complete) scan.

 

Post deretter loggene fra Vundofix og SAS (preferences->statistics/logs) + en ny HJT-logg

[Kneipp]

Fikset problemet.

Det var tydeligvis spor etter diverse trojanere, spyware ol.

 

Etter å ha leste denne tråden http://forums.spywareinfo.com/index.php?showtopic=96804 så fjernet jeg diverse BHO (browser helper object) som så suspekte ut, med hijackthis.

 

F.eks:

 

O2 - BHO: (no name) - {743497C7-5B61-CC0A-FB64-0551A8520A21} - C:\WINDOWS\system32\shhrlwk.dll (file missing)

 

Nå får jeg startet IE uten problemer (skal nok anbefale fyren å bruke firefox..)

[norbat]

Ok. Vet ikke hvor mange av de aktuelle du fjernet, så jeg legger ved en liten veiledning

 

Hent Avenger og pakk det ut.

 

Start programmet, sett prikk i "Input Script Manually" og klikk på lupen.

I vinduet som kommer opp kopierer du og limer inn det som er i fet skrift under:

 

Files to delete:

C:\WINDOWS\system32\hkuwjyl.dll

C:\Documents and Settings\User\Lokale innstillinger\Programdata\acqpeyk.dll

 

Klikk på Trafikklyset. Restart pc'n.

Etter restart vil det komme en loggfil som forteller hva som har skjedd

 

Kjør HJT, sett merke framfor følgende linjer og klikk 'Fix checked':

O2 - BHO: (no name) - {6DBD637B-72FF-D5C0-58CA-00F3ECE6247E} - C:\WINDOWS\system32\hkuwjyl.dll

O2 - BHO: (no name) - {7440F9A0-2C55-4987-A70F-D7A9AC168842} - C:\WINDOWS\system32\oppnk.dll (file missing)

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: (no name) - {B75E00FE-278D-44B7-94D6-022F3F0C9B3D} - C:\WINDOWS\system32\ddcyw.dll (file missing)

O4 - HKLM\..\Run: [acqpeyk.dll] C:\WINDOWS\system32\rundll32.exe "C:\Documents and Settings\User\Lokale innstillinger\Programdata\acqpeyk.dll",wbonble

O20 - Winlogon Notify: ddcyw - C:\WINDOWS\system32\ddcyw.dll (file missing)

O20 - Winlogon Notify: opnmmll - opnmmll.dll (file missing)

O20 - Winlogon Notify: oppnk - C:\WINDOWS\system32\oppnk.dll (file missing)

O20 - Winlogon Notify: winahs32 - winahs32.dll (file missing)

 

Restart pc'n

Endret 13. mai 2007 av norbat