Avatar billede michael_aggerholm Nybegynder
19. august 2004 - 20:03 Der er 6 kommentarer og
1 løsning

Hjælp til fjernelse af Spyware fra Grokster (HijackThis logfil)

Hej alle eksperter.

Min søster har installeret Grokster på min fars PC, og nu har jeg fået den fornemme opgave at fjerne alt det l*rt, der fulgte med.

Jeg har vist fundet det meste manuelt, og med Ad-Aware og Spybot, og derudover er Spywareblaster, Spyware-guard og IE-spyad blevet installeret.

Men jeg får stadig en pop-up, der hedder noget med "Bonus Coupon".
Siden er tom (sikkert fordi jeg har slettet det, den skal reklamere for), men den popper altså stadig op i tide og i utide.

Jeg har derfor hentet HijackThis, men den er jeg altså ikke klog nok til bare at give mig i kast med.

Jeg søger derfor hjælp til at få ryddet op.
Her er logfilen fra HijackThis:

Logfile of HijackThis v1.98.2
Scan saved at 19:50:25, on 19-08-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
c:\Programmer\CA\SharedComponents\CA_LIC\lic98rmt.exe
C:\Programmer\CA\eTrust Antivirus\InoRpc.exe
C:\Programmer\CA\eTrust Antivirus\InoRT.exe
C:\Programmer\CA\eTrust Antivirus\InoTask.exe
c:\Programmer\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\RunDll32.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\Programmer\Home Cinema\PowerCinema\PCMService.exe
C:\Programmer\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
C:\Programmer\Fælles filer\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programmer\Lexmark X74-X75\lxbbbmgr.exe
C:\Programmer\Lexmark X74-X75\lxbbbmon.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programmer\MSN Messenger\msnmsgr.exe
C:\Programmer\Microsoft Office\Office\FINDFAST.EXE
C:\Programmer\Microsoft Office\Office\OSA.EXE
C:\DOCUME~1\Michael\LOKALE~1\Temp\RDtemp.exe
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\Programmer\SpywareGuard\sgmain.exe
C:\Programmer\SpywareGuard\sgbhp.exe
C:\Documents and Settings\Michael\Skrivebord\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Tiscali A/S - Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programmer\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmer\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Flash Enhancer - {7CD20E91-1F31-41da-8379-479EA31DF969} - c:\Program Files\XML\XML.dll
O2 - BHO: syssetuv - {E312F132-D6B2-7BB0-AFCD-048FDDFF1570} - C:\WINDOWS\System32\syssetuv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programmer\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [mmtask] C:\Programmer\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programmer\Fælles filer\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Lexmark X74-X75] "C:\Programmer\Lexmark X74-X75\lxbbbmgr.exe"
O4 - HKLM\..\Run: [Breg] "C:\Program Files\Common Files\Java\breg.exe"
O4 - HKLM\..\Run: [Sys Ren] C:\WINDOWS\SysRen.exe /S
O4 - HKLM\..\Run: [Xcpy1] "C:\Program Files\Common Files\Java\Xcpy1.exe"
O4 - HKLM\..\Run: [BTV] C:\Program Files\BTV\btv.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmer\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: SpywareGuard.lnk = C:\Programmer\SpywareGuard\sgmain.exe
O4 - Global Startup: Microsoft Hurtig søgning.lnk = C:\Programmer\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Microsoft Office-start.lnk = C:\Programmer\Microsoft Office\Office\OSA.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O16 - DPF: {3D2CB570-D425-11D5-ABD0-00008369C46F} (CSMenu Class) - https://netbank.danskebank.dk/html/activex/DB/Menu.cab
O16 - DPF: {556DDE35-E955-11D0-A707-000000521957} - http://www.xblock.com/download/xclean_micro.exe
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O16 - DPF: {F9408298-9658-482C-8B02-93F09A80225F} (Util Class) - https://udstedelse.certifikat.tdc.dk/csp/authenticode/PrimeInkCSP-0104.exe

Min fars PC er en ret ny Medion, og jeg er derfor ikke helt sikker på, hvad der er installeret fra Medions side og dermed vigtigt, og hvad der er henvisninger til spyware.

Håber i kloge hoveder kan hjælpe.

Mvh Michael

p.s. Opretter sjældent spørgsmål, og ved derfor ikke om det er for få eller for mange point.
Avatar billede andersenph Nybegynder
19. august 2004 - 20:55 #1
Kigger den lige igennem for dig.
Avatar billede michael_aggerholm Nybegynder
19. august 2004 - 20:57 #2
Takker.

Jeg har underligt nok ikke rigtig kunnet finde noget om denne "Bonus Coupon" på nettet.
Avatar billede andersenph Nybegynder
19. august 2004 - 21:05 #3
Der er meget af det vi søger på, der ikke findes noget om.
Men som regel er det snavs og skal væk.

Du skal lige gøre følgende:
Hent denne scanner:
http://www.mwti.net/antivirus/free_utilities.asp
Det er ligegyldigt hvilket af de 7 links du downloader fra.

Inde i opsætningen sætter du den til at scanne alt.
Kør programmet.



Følg vejledningen her: http://www.spywarefri.dk/hjtanv.htm (punkt 6). Fix disse med HijackThis:

R3 - Default URLSearchHook is missing
O2 - BHO: Flash Enhancer - {7CD20E91-1F31-41da-8379-479EA31DF969} - c:\Program Files\XML\XML.dll
O2 - BHO: syssetuv - {E312F132-D6B2-7BB0-AFCD-048FDDFF1570} - C:\WINDOWS\System32\syssetuv.dll
O4 - HKLM\..\Run: [Breg] "C:\Program Files\Common Files\Java\breg.exe"
O4 - HKLM\..\Run: [Sys Ren] C:\WINDOWS\SysRen.exe /S
O4 - HKLM\..\Run: [Xcpy1] "C:\Program Files\Common Files\Java\Xcpy1.exe"
O4 - HKLM\..\Run: [BTV] C:\Program Files\BTV\btv.exe


Vi skal kunne se dine skjulte filer for at finde snavs, der skal slettes manuelt. Det er en del af processen.

Åbn en tilfældig mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

Disse programmer skal slettes i fejlsikret tilstand. Du genstarter og trykker F8 når Windows starter op.

Søg efter disse filer og mapper:

c:\Program Files\XML\XML.dll>>>>slet mappen XML
C:\WINDOWS\System32\syssetuv.dll>>>>slet filen syssetuv.dll
C:\Program Files\Common Files\Java\breg.exe >>>>slet filen breg.exe
C:\WINDOWS\SysRen.exe >>>>slet filen
C:\Program Files\Common Files\Java\Xcpy1.exe>>>>slet filen Xcpy1.exe
C:\Program Files\BTV\btv.exe>>>>slet mappen BTV


------------------------------
C:\DOCUME~1\Michael\LOKALE~1\Temp\RDtemp.exe
Kender du denne?
Hvis ikke skal den slettes


Derefter genstarter du og sender en ny log ind til check
Avatar billede michael_aggerholm Nybegynder
19. august 2004 - 22:29 #4
Jeg har nu gjort (næsten) som du sagde.
Nogle af de ting du skrev jeg skulle fjerne med HijackThis var der ikke, men de er vel blot blevet fjernet af programmet du allerførst henviste til.

Og så slettede jeg hele "program files" mappen, da der kun var en eller to filer tilbage under common files, og de hed det samme som filer i den XML mappe jeg skulle slette.
Vi bruger mappen "programmer" normalt, og jeg tror simpelthen at "program files" er blevet oprettet, da Grokster blev installeret.

Men min HijackThis logfil ser nu sådan ud:

Logfile of HijackThis v1.98.2
Scan saved at 22:25:07, on 19-08-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
c:\Programmer\CA\SharedComponents\CA_LIC\lic98rmt.exe
C:\Programmer\CA\eTrust Antivirus\InoRpc.exe
C:\Programmer\CA\eTrust Antivirus\InoRT.exe
C:\Programmer\CA\eTrust Antivirus\InoTask.exe
C:\WINDOWS\Explorer.EXE
c:\Programmer\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\RunDll32.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\Programmer\Home Cinema\PowerCinema\PCMService.exe
C:\Programmer\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
C:\Programmer\Fælles filer\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programmer\Lexmark X74-X75\lxbbbmgr.exe
C:\Programmer\MSN Messenger\msnmsgr.exe
C:\Programmer\Lexmark X74-X75\lxbbbmon.exe
C:\Programmer\Microsoft Office\Office\FINDFAST.EXE
C:\Programmer\Microsoft Office\Office\OSA.EXE
C:\Programmer\SpywareGuard\sgmain.exe
C:\Programmer\SpywareGuard\sgbhp.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Michael\Dokumenter\HijackThis\hijackthis.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\System32\imapi.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Tiscali A/S - Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programmer\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmer\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programmer\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [mmtask] C:\Programmer\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programmer\Fælles filer\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Lexmark X74-X75] "C:\Programmer\Lexmark X74-X75\lxbbbmgr.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmer\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: SpywareGuard.lnk = C:\Programmer\SpywareGuard\sgmain.exe
O4 - Global Startup: Microsoft Hurtig søgning.lnk = C:\Programmer\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Microsoft Office-start.lnk = C:\Programmer\Microsoft Office\Office\OSA.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O16 - DPF: {3D2CB570-D425-11D5-ABD0-00008369C46F} (CSMenu Class) - https://netbank.danskebank.dk/html/activex/DB/Menu.cab
O16 - DPF: {556DDE35-E955-11D0-A707-000000521957} - http://www.xblock.com/download/xclean_micro.exe
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O16 - DPF: {F9408298-9658-482C-8B02-93F09A80225F} (Util Class) - https://udstedelse.certifikat.tdc.dk/csp/authenticode/PrimeInkCSP-0104.exe

Mvh Michael
Avatar billede andersenph Nybegynder
20. august 2004 - 09:05 #5
Jamen det ser fint ud nu :O)

Loggen er ren, men du svarede ikke på om du kendte denne:
C:\DOCUME~1\Michael\LOKALE~1\Temp\RDtemp.exe
Jeg kan ikke rigtigt finde nogle oplysninger på den.....

Men hvis den er ok så skal du lige gøre een ting mere.
Deaktiver din systemgendannelse:
Højreklik på Denne Computer på skrivebordet, vælg Egenskaber og fanebladet Systemgendannelse og sæt flueben i Deaktiver systemgendannelse. Klik ok og genstart.
Aktiver den igen. Så skulle alt være i orden.
Avatar billede michael_aggerholm Nybegynder
20. august 2004 - 11:08 #6
Jeg sidder ikke til dagligt ved denne PC, så jeg kender ikke ret meget af det der er på den.
Men den lå jo under min brugerprofil, så jeg slettede den.
Det eneste jeg lige kunne forestille mig den skulle høre til, var et spil jeg lige har installeret, og virker det ikke kan jeg jo bare installere det igen.

Jeg deaktiverede sytemgendannelse, inden jeg slettede mapper manuelt (og har aktiveret det igen).
Skal jeg gøre det en gang mere?

Jeg må gerne skjule filer, kendte filnavne mm igen, ikke?

Rigtig mange tak for hjælpen.
Jeg er idag endnu ikke stødt på den "Bonus Coupon" pop-up, så jeg håber da den er forsvundet.
Ellers skriver jeg igen. :o)

Laver du lige et svar, så du kan få dine point?
Avatar billede andersenph Nybegynder
20. august 2004 - 19:45 #7
Det kommer her og du har gjort alting rigtigt.
Du må godt skjule dine mapper og filer igen :O)
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester