searchmiracle.com virus

Jeg skal bede dig om at hente 2 programmer.
Dem bruger vi som værktøj til at komme nærmere en løsning på dit problem.

Først spybot : http://www.spywarefri.dk/vaerktoj.htm#spybot
direkte link : http://download.com.com/3000-2144-10122137.html?part=104443&subj=dlpage&tag=button

Installer og kør Spybot, opdater online, scan, alle filer den har fundet, der er røde skal markeres, tryk så på afhjælp valgte problemer, derefter genstarter du

Derefter hijackthis : http://danborg.org/spy/HJT/hijackthis.exe
Den udpakker du til en mappe for sig selv, og kører Hijackthis, scan, save log og kopier logfilen herind, så kigger vi på den.

OK. Spybot fandt godt nok nogle programmer, som den fjernede, men efter genstart var problemet stadigvæk en realitet. Derefter kørte jeg som du foreslog HiJackThis:

Logfile of HijackThis v1.98.0
Scan saved at 00:48:14, on 23-07-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
C:\WINDOWS\System32\DVDRAMSV.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\CCM\CcmExec.exe
C:\WINDOWS\System32\msiexec.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\PROGRA~1\B'SCLI~1\Win2K\BSCLIP.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\WallpaperCycler\wallpapercycler.exe
C:\Program Files\Ares\Ares.exe
C:\Program Files\FreeRAM XP Pro 1.40.exe
C:\Program Files\Zone Labs\Integrity Client\iclient.exe
C:\WINDOWS\system32\RAMASST.exe
C:\Program Files\sizer\sizer.exe
C:\Reaktion\tekst\Notes\StickyNote.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Download\spyware\hijackthis.exe
C:\Program Files\Internet Explorer\iexplore.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmiracle.com/sp.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmiracle.com/sp.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchmiracle.com/sp.php

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchmiracle.com/sp.php

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = joker.systematic.local:8080
R3 - Default URLSearchHook is missing
O1 - Hosts: ile searchmiracle.com/hosts|1
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81C3A} - C:\ELITEB~1.DLL
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [B'sCLiP] C:\PROGRA~1\B'SCLI~1\Win2K\BSCLIP.exe
O4 - HKLM\..\Run: [NuonSoft Wallpaper Cycler StartupHelper] C:\Program Files\WallpaperCycler\StartupHelper.exe
O4 - HKLM\..\Run: [Detect] C:\Program Files\iNTERNET Turbo\iDetect.exe /auto
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ares] "C:\Program Files\Ares\Ares.exe" -h
O4 - HKCU\..\Run: [FreeRAM XP] "C:\Program Files\FreeRAM XP Pro 1.40.exe" -win
O4 - Startup: Windows Media Player.lnk = Windows Media Player\wmplayer.exe
O4 - Global Startup: Integrity Client.lnk = Zone Labs\Integrity Client\iclient.exe
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O4 - Global Startup: Shortcut to sizer.lnk = sizer\sizer.exe
O4 - Global Startup: Shortcut to StickyNote.lnk = tekst\Notes\StickyNote.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: v2cab - http://searchmiracle.com/cab/v2cab.cab
O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/da/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {706F3805-27D7-478D-80E5-E25D2BB030B3} (VacPro.internazionale_ver3) - http://www.advnt01.com/dialer/internazionale_ver3.CAB
O16 - DPF: {BAC01377-73DD-4796-854D-2A8997E3D68A} - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/ydropper/ydropper1_3us.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab

HiJackThis > Jeg fixede alle der nævnte "searchmiracle" i log'en. Det løste problemet, således at www.blablabla.dk redirecter til http:///?%20www.blablabla.dk. Før i tiden kom msn search frem, men det var noget lort i fortiden - nogen gange er et skridt tilbage et fremskridt.

Tak for hjælpen.

p.s. Hvor er det irriterende at 2 virusprogrammer ikke er nok. Man skal jo være ekspert. Hvilket er grunden til at vi har eksperten.dk! :-)

p.p.s andersen, skriv et indlæg som svar og du har point til din i forvejen ret imponerende "karma".

R3 - Default URLSearchHook is missing
O1 - Hosts: ile searchmiracle.com/hosts|1
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81C3A} - C:\ELITEB~1.DLL
O16 - DPF: v2cab - http://searchmiracle.com/cab/v2cab.cab
O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
O16 - DPF: {706F3805-27D7-478D-80E5-E25D2BB030B3} (VacPro.internazionale_ver3) - http://www.advnt01.com/dialer/internazionale_ver3.CAB
Skal også fixes.
Du har husket at slå systemgendannelsen fra inden du fixer ikke?

Når du har fixet ovenstående linier, skal du genstarte og slå systemgendannelsen til igen.
Jeg lægger lige et par gode link med på vejen:
http://www.eksperten.dk/artikler/144
http://www.eksperten.dk/artikler/254
Der vil du læse at det desværre ikke kan klares med to programmer at beskytte sig 100 %.
Der skal flere til, men de er små og tærer ikke på din computers kræfter....

OK. Systemgendannelsen synes at være slået fra per default, så hvordan slår jeg den til igen?

Højreklik på Denne Computer på skrivebordet, vælg Egenskaber og fanebladet Systemgendannelse og fjern flueben i Deaktiver systemgendannelse. Klik ok og genstart.

Takker for point :O)

Hej hej - Jeg har lige bøvlet 3 timer med searchmiracle, havde ellers ad-aware installere og norton ... men min zero popup killer blev væk og jeg kunne ikke installere den igen og ad-aware kunne ikke finde/slette den meget meget irriterende searchmiracle ..... men så læste jeg lidt her og prøvede at bruge systemgendannelse og valgte en tid i går hvor jeg ikke havde fået den endnu og nu ser det ud til det er væk ? kan det passe at en simpel systemgendannelse kan fjerne en spy eller hvad det er ?