Vil have fjernet noget ad-aware, som jeg ikke selv kan

hey!
ad-aware er for dårligt! det finder mindstedelen!!
klik ind under www.webroot.com og find programmet Spy Sweeper! det finder også spor, som ad-aware overhovedet ikke fjerner.. det er meget meget bedre! håber det kan hjælpe!!

klokmose

Klokmose ; du ved jo ikke hvad det der ikke kan fjernes...

mikstor ; har du hentet de nyeste versioner af SpyBot og AdAware ?? - gør det og kør en ny scanning.


1. Du skal starte med at køre en onlinescanning, og fjerne det snavs, den finder. Onlinescanneren finder du her: http://www.spywarefri.dk/spywarefri-onlinescan.htm

2. Du skal nu downloade og installere to små programmer på din computer. Det ene hedder Spybot og det andet HijackThis. Begge programmer finder du her:

Spybot
Som du finder på denne adresse:
http://www.spywarefri.dk/vaerktoj.htm#spybot


HijackThis
Inden du downloader HijackThis, skal du oprette en mappe på dit C-drev med navnet HijackThis. Når du downloader HijackThis, skal du gemme programmet i denne mappe. Pak også filen ud i denne mappe.

http://www.spywarefri.dk/vaerktoj.htm#hijackthis
Du finder også en dansk manual til programmet på dette link.

3. Nu starter du med at installere Spybot og hente de sidste nye opdateringer til programmet. Derefter skal du køre en scanning med Spybot og fjerne alt det snavs, som programmet eventuelt finder. Det er alt det med rødt, som skal fjernes. Marker med flueben alle de steder, der er med rødt, og klik derefter på afhjælp problemer.

4. Nu skal du installere og køre HijackThis, som jo ligger i mappen, du lavede lige før. Klik på .exe filen, så kører programmet, klik på scan, klik på save log, kopier loggen og læg en kopi herind.
Lad være med at slette noget selv med Hijackthis, det kan skade mere end det gavner, lad en af eksperterne om det job. HijackThis-loggen viser dig både de gode og de dårlige ting, så vi skal en haj nok hjælpe dig med finde de dårlige.

men spy sweeper finder flere ting en ad-aware 6,0!! ligemeget! du kan jo prøve det!!

klokmose ; min maskine er ren som en barnenumse ;o)

Jeg ordner det når jeg får tid her ved tre-tiden i eftermiddag...

Logfile of HijackThis v1.98.2
Scan saved at 14:21:28, on 22-09-2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Rhododendron.bmp:wsydq
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\apixw.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\Steam\Steam.exe
C:\Documents and Settings\Mik\Application Data\pb?gg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmer\Internet Explorer\iexplore.exe
D:\Sikkerhed\hijackthis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\qsjeu.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\qsjeu.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\qsjeu.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\qsjeu.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\qsjeu.dll/sp.html#28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\qsjeu.dll/sp.html#28129
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {71167969-C63A-6FB0-2E12-19AC38D1B9B1} - C:\WINDOWS\atlfw.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmer\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [apixw.exe] C:\WINDOWS\apixw.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] C:\Programmer\Steam\Steam.exe -silent
O4 - HKCU\..\Run: [Torh] C:\Documents and Settings\Mik\Application Data\pb?gg.exe
O8 - Extra context menu item: &Google Search - res://C:\Programmer\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://C:\Programmer\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://C:\Programmer\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://C:\Programmer\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://C:\Programmer\Google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Programmer\Internet Explorer\PLUGINS\nppdf32.dll
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchmiracle.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1095686875187

tilkalder lige en af hajerne ;o)  så du kommer af med det hele...

espersen > Hmm.. kunne du ikke finde en af hajerne, siden du kaldte på mig ? *G*

Jeg kigger lige på loggen ...

*G*  du er da en haj - nu ikke så beskeden ;o)

Hent denne Kaspersky scanner, den skal du bruge senere.
http://www.mwti.net/antivirus/free_utilities.asp - Virusscanner.

Så skal du genstarte pc'en i fejlsikret tilstand. Klik F8 under opstart.

Kør Hijackthis, scan, sæt flueben ved linierne listet her, luk alle vinduer undtaget Hijackthis, klik på fix checked, slet mapper og filer listet nederst.
Dobbelttjek, så alt kommer med.

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\qsjeu.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\qsjeu.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\qsjeu.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\qsjeu.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\qsjeu.dll/sp.html#28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\qsjeu.dll/sp.html#28129
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {71167969-C63A-6FB0-2E12-19AC38D1B9B1} - C:\WINDOWS\atlfw.dll
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchmiracle.com


---------------------------------------
Sletning af filer og mapper:
Åbn en mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".
Brug af Start->Søg.
Klik på "Alle filer og mapper"
Klik på "Avancerede indstillinger"
Sæt flueben i de tre øverste.
-------------------
Mapper:
<ingen>

Filer:
C:\WINDOWS\atlfw.dll
C:\WINDOWS\system32\qsjeu.dll

---------------------------------------
Så kører du engangsskanneren fra Kaspersky - Aktiver det hele i opsætningen derinde, så den kan skanne alt igennem.
---------------------------------------

Genstart normalt og kom med en ny log til kontrol

Logfile of HijackThis v1.98.2
Scan saved at 19:26:40, on 22-09-2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Rhododendron.bmp:wsydq
C:\WINDOWS\system32\netwx.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\Steam\Steam.exe
C:\Documents and Settings\Mik\Application Data\pb?gg.exe
C:\WINDOWS\system32\wscntfy.exe
D:\Sikkerhed\hijackthis\hijackthis.exe
C:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {4FA500AA-6D17-65FB-338B-0E37CC3C72DE} - C:\WINDOWS\system32\netwx.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmer\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [netwx.exe] C:\WINDOWS\system32\netwx.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] C:\Programmer\Steam\Steam.exe -silent
O4 - HKCU\..\Run: [Torh] C:\Documents and Settings\Mik\Application Data\pb?gg.exe
O8 - Extra context menu item: &Google Search - res://C:\Programmer\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://C:\Programmer\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://C:\Programmer\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://C:\Programmer\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://C:\Programmer\Google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Programmer\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1095686875187

Der er stadig lidt tilbage...

Hent værktøjet About:Buster lavet af Rubber Ducky.
http://tools.zerosrealm.com/AboutBuster.zip
Opret en mappe på dit skrivebord, og pak About:Buster ud i denne mappe.

Hent dette regcleaner Supreme program, som er gratis i en 30 dages periode. http://www.webmasterfree.com/regcleaner.html

Du skal genstarte pc'en i fejlsikret tilstand. Klik F8 under opstart.

Kør Hijackthis, scan, sæt flueben ved linierne listet her, luk alle vinduer undtaget Hijackthis, klik på fix checked, slet mapper og filer listet nederst.
Dobbelttjek, så alt kommer med.

O2 - BHO: (no name) - {4FA500AA-6D17-65FB-338B-0E37CC3C72DE} - C:\WINDOWS\system32\netwx.dll
O4 - HKLM\..\Run: [netwx.exe] C:\WINDOWS\system32\netwx.exe
O4 - HKCU\..\Run: [Torh] C:\Documents and Settings\Mik\Application Data\pb?gg.exe

---------------------------------------
Sletning af filer og mapper:
-------------------
Mapper:
<ingen>

Filer:
C:\WINDOWS\system32\netwx.dll
C:\WINDOWS\system32\netwx.exe
C:\Documents and Settings\Mik\Application Data\pb?gg.exe

Nu lukker du ALLE vinduer. Find den mappe hvori du lagde About:Buster. Kør programmet - tryk ok til meddelelsen, tryk på start.

Kør så Regsupreme som du har hentet tidligere og fix/fjern det den finder

Genstart normalt og kom med en ny log til kontrol

Logfile of HijackThis v1.98.2
Scan saved at 15:36:45, on 23-09-2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Rhododendron.bmp:wsydq
C:\WINDOWS\d3bj32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\Steam\Steam.exe
C:\WINDOWS\system32\wscntfy.exe
D:\Sikkerhed\hijackthis\hijackthis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\virsz.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\virsz.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\virsz.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\virsz.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\virsz.dll/sp.html#28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\virsz.dll/sp.html#28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {013C41F3-0FD0-2C00-21BA-1199293427C3} - C:\WINDOWS\d3bj32.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmer\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] C:\Programmer\Steam\Steam.exe -silent
O8 - Extra context menu item: &Google Search - res://C:\Programmer\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://C:\Programmer\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://C:\Programmer\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://C:\Programmer\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://C:\Programmer\Google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Programmer\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1095686875187

Den er jo ikke videre flot, så vi prøver lige noget nyt:

1. Hent dette lille værktøj fra Option^explicit:

http://download.broadbandmedic.com/DllCompare.exe

2. Kør programmet og klik på Run Locate.com og vent et kort øjeblik (der kommer en meddelelse med blå skrift: "Completed the scan - click compare to continue").

3. Klik nu på Compare og vent lidt - denne gang tager det nok et par minutter

4. Når den er færdig med at lede ("completed" med blå skrift), kan du klikke på "Make a Log of what was Found". Nu spørger programmet om du vil se log'en - svar ja og kopier log'en herind i din næste kommentar

*    DLLCompare Log version(1.0.0.125)
Files Found that Windows does not See or cannot Access
*Not everything listed here means you are infected!
________________________________________________

O^E says: "There were no files found :)"
________________________________________________

1.199 items found:  1.199 files, 0 directories.
Total of file sizes:  248.886.553 bytes    237,36 M

Administrator Account =  True

--------------------End log---------------------

Ovenstående log viser at der IKKE er nogle skjulte dll'er der får infektionen til at komme tilbage, så du får en anden længere, procedure som du skal følge slavisk.

Du skal have hentet nogle programmer hjem inden vi skal have taget dit netstik ud. (Nogle af dem har du allerede hentet tidligere)

Hent disse programmer, lad dem ligge så du ved hvor de er, du skal senere bruge dem.

Hent dette regcleaner Supreme program, som er gratis i en 30 dages periode. http://www.webmasterfree.com/regcleaner.html

Hent og installer - ikke køre den endnu - denne engangsskanner fra Kaspersky: http://www.mwti.net/antivirus/free_utilities.asp

Hent AdAware. Programmet samt brugervejledning på dansk finder du her: http://www.spywarefri.dk/vaerktoj.htm#adaware

Hent cwsschredder her:
http://home8.inet.tele.dk/fbj/CWShredder.exe

Nu har du så de prg. som du skal bruge.

Kør programmet CWShredder, Pak zipfilen ud i en mappe.
Kør programmet, afbryd din internetforbindelse fysisk (stikket ud), luk alle vinduer undtaget cwshredder, klik på Fix, den scanner nu, når den er færdigt klik på Next, klik på Exit.

Derefter en tur i Regedit.
Klik på Start gå i - Kør - skriv: regedit - tast enter
Du får et vindue lidt ligesom stifinder.
Gå i rediger - ned i søg - i linjen skriver du: HOMEOldSP
Klik på find næste. Delete filen hvis den findes. Tast f3 for at finde næste (der er sikkert kun en)
Samme fremgangsmåde med søgeordet About:blank
Luk på X når du får at vide der ikke er flere filer at finde.

Slå nu systemgendannelse fra.
Hvis du ikke ved, hvordan du gør det så kig her:
http://www.spywarefri.dk/virusscannere.htm#alle

Brug "Taskmanager/procesliste" (Ctrl+Alt+Del) til at afslutte følgende processer hvis
du kan finde dem:

C:\WINDOWS\Rhododendron.bmp:wsydq
C:\WINDOWS\d3bj32.exe

-------------------------------------------------------------------------------------

Kør en scanning med Hijackthis, så du kan se alle filer.
Du får herunder nogle filer, som du skal fixe. Det, du skal gøre, er at sætte en vinge
ud for disse filer. Når du har gjort det, så lukker du alle andre vinduer ned. Det er
meget vigtigt at det eneste vindue, som er åbent er HijackThis vinduet. Husk også at
lukke dette vindue, når du har markeret filerne. Nu må du fixe. Klik på Fix checked.
Fix disse:

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {013C41F3-0FD0-2C00-21BA-1199293427C3} - C:\WINDOWS\d3bj32.dll

For at kunne se alle filer og mapper, så følg denne vejledning:
Åbn en mappe, klik på Funktioner >Mappeindstillinger >Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

Genstart i fejlsikret tilstand søg og slet det med fed:

C:\WINDOWS\virsz.dll
C:\WINDOWS\d3bj32.dll
C:\WINDOWS\d3bj32.exe

Genstart

Nu kører du programmet Ad-aware

Derefter kører du engangsskanneren fra Kaspersky - Aktiver det hele i opsætningen derinde, så den kan skanne alt igennem.

Kør så Regsupreme som du har hentet tidligere og fix/fjern det den finder

Tøm din parpirkurv

Sæt dit Internet til igen.

Kør en ny scanning med Hijackthis, og kopier en frisk log herind til tjek.

Logfile of HijackThis v1.98.2
Scan saved at 00:21:34, on 25-09-2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Rhododendron.bmp:wsydq
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\mseo32.exe
D:\Sikkerhed\hijackthis\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {7ABEDA97-ADE8-D564-C19A-4D6D0E15F0CE} - C:\WINDOWS\sdkgj.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmer\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [mseo32.exe] C:\WINDOWS\system32\mseo32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] C:\Programmer\Steam\Steam.exe -silent
O8 - Extra context menu item: &Google Search - res://C:\Programmer\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://C:\Programmer\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://C:\Programmer\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://C:\Programmer\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://C:\Programmer\Google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Programmer\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1095686875187

Der er stadig lidt.

Højreklik bundlinien og vælg jobliste. Klik fanebladet processer, og find processen mseo32.exe. Højreklik den og vælg afslut proces.

Luk alle vinduer så der ikke er noget åbent.
Kør så HiJackThis og fix disse:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
R3 - Default URLSearchHook is missing

O2 - BHO: (no name) - {7ABEDA97-ADE8-D564-C19A-4D6D0E15F0CE} - C:\WINDOWS\sdkgj.dll
O4 - HKLM\..\Run: [mseo32.exe] C:\WINDOWS\system32\mseo32.exe

Genstart i fejlsikret tilstand

Slet de 2 filer:
C:\WINDOWS\sdkgj.dll
C:\WINDOWS\system32\mseo32.exe

Genstart i normal tilstand og kom med en ny log.

Logfile of HijackThis v1.98.2
Scan saved at 18:30:43, on 25-09-2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\windd.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\Steam\Steam.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Rhododendron.bmp:wsydq
C:\WINDOWS\system32\wscntfy.exe
C:\Programmer\Internet Explorer\iexplore.exe
D:\Sikkerhed\hijackthis\hijackthis.exe
C:\WINDOWS\system32\wuauclt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\cnfzk.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\cnfzk.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\cnfzk.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\cnfzk.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\cnfzk.dll/sp.html#28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\cnfzk.dll/sp.html#28129
R3 - Default URLSearchHook is missing
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmer\google\googletoolbar1.dll
O2 - BHO: (no name) - {F6CB920B-A4A6-46E0-C07F-F02819E65389} - C:\WINDOWS\winhy32.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [windd.exe] C:\WINDOWS\system32\windd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] C:\Programmer\Steam\Steam.exe -silent
O8 - Extra context menu item: &Google Search - res://C:\Programmer\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://C:\Programmer\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://C:\Programmer\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://C:\Programmer\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://C:\Programmer\Google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Programmer\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1095686875187

Jeg får en anden til at kigge på loggen. Der er åbenbart et eller andet i den jeg overser, sorry :(

Du overser ikke noget, den infektion er hundesvær at få bugt med.

Kør About:Buster igen, klik på Update, er der en update så hent den, ellers klik på Exit.
du må ikke klikke på Start.

Hent og installer ad-aware her:
http://www.spywarefri.dk/vaerktoj.htm#adaware
Opdater det online, når det er gjort, luk ad-aware igen, efter du har fulgt vejledningen

her til udvidet søgning:
http://www.spywarefri.dk/tipsogtricks.htm#adaware

Følg denne vejledning:
Åbn en tilfældig mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

Det er ikke sikkert det her punkt kan gøres, men så fortsæt til næste punkt.
Klik på start->Kør skriv services.msc klik OK.
Scroll ned af listen til du finder Network Security Service, dobbeltklik på den og klik på

Stop, klik så på egenskaber fanebladet generelt her vælger du Starttype=Deaktiveret, klik

på anvend, klik på OK.
Luk alle vinduer og genstart i fejlsikret tilstand.

Kør Hijackthis og sæt flueben ved disse linier:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =

res://C:\WINDOWS\cnfzk.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =

res://C:\WINDOWS\cnfzk.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =

res://C:\WINDOWS\cnfzk.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar =

res://C:\WINDOWS\cnfzk.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =

res://C:\WINDOWS\cnfzk.dll/sp.html#28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

res://C:\WINDOWS\cnfzk.dll/sp.html#28129
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {F6CB920B-A4A6-46E0-C07F-F02819E65389} - C:\WINDOWS\winhy32.dll
O4 - HKLM\..\Run: [windd.exe] C:\WINDOWS\system32\windd.exe

Klik så på fix Checked.

Find og slet:
C:\WINDOWS\cnfzk.dll
C:\WINDOWS\system32\windd.exe
C:\WINDOWS\Rhododendron.bmp:wsydq - hedder måske kun C:\WINDOWS\Rhododendron.bmp

Klik så på start->Kør skriv Regedit, klik OK.
Du får et vindue ligesom stifinder, her klikker du dig vej ned til:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services klik på Services
Kig efter følgende i højre vindue:
__NS_Service
__NS_Service_2
__NS_Service_3
Hvis en eller flere af dem er der, højreklik på dem og slet dem.

Samme procedure med:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root
Her er det Root du skal klikke på.

Kør så About:Buster, klik Start->OK når scanningen er færdig, klik Exit og genstart i

fejlsikret tilstand.
Gentag proceduren med About:buster, denne gang gemmer du rapporten et sted hvor du kan

finde den, den skal kopieres herind.
Genstart igen i fejlsikret tilstand, kør så Ad-aware.

Find og slet alt indhold i dine Temp mapper:
C:\WINDOWS\Temp\
C:\Temp\
C:\Documents and Settings\brugernavn\Local Settings\Temp\

Start Internet Explorer, klik på det røde kryds så den ikke prøver at komme på nettet.
Klik på Funktioner->Internetindstillinger->Slet filer, husk flueben i Slet alt offline

indhold, klik OK og OK igen.
Tøm din papirkurv, og genstart i almindelig windows.

Scan online hos både Panda og Housecall:
http://www.spywarefri.dk/onlinevark.htm
Lad dem fjerne hvad de måtte finde.

Hen Asquared (A²) her:
http://www.emsisoft.com/en/software/free/
Scan med programmet, og lad det fjerne alt det finder.

Opdater din windows fra Windowsupdate.
Genstart.

To eller tre filer kan være fjernet fra din windows af hijackeren, tjek om de er tilstede:
a. Control.exe
b. hosts (uden extension)
c. SDHelper.dll (hvis du bruger Spybot Search & Destroy)
Mangler de hent dem her:

Control.exe - http://www.spywareinfo.com/~merijn/winfiles.html#control
Windows 95/98/98SE/ME: kopieres til C:\WINDOWS
Windows 2000, kopieres til c:\winnt\system32\.
Windows XP, kopieres til c:\windows\system32\

Download the Hoster: http://members.aol.com/toadbee/hoster.zip
Klik på 'Restore Original Hosts' klik 'OK'
Luk Programmet.
Hvis du har tilføjet linier selv, skal du gøre det igen.

SDHelper.dll - http://www.spywareinfo.com/~merijn/winfiles.html#sdhelper
Kopier filen til Spybot mappen, som regel C:\programmer\Spybot - Search & Destroy

Tjek dine ActiveX indstillinger, de skal være således.
http://www.spywareinfo.com/articles/hijacked/prevent.php

Genstart så, scan med hijackthis igen, kopier både Hijackthisloggen og About:Buster loggen

ind i dit næste indlæg.

Logfile of HijackThis v1.98.2
Scan saved at 15:00:57, on 26-09-2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\Steam\Steam.exe
C:\Programmer\a2\a2guard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
D:\Sikkerhed\hijackthis\hijackthis.exe

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmer\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] C:\Programmer\Steam\Steam.exe -silent
O4 - HKCU\..\Run: [a²] "C:\Programmer\a2\a2guard.exe"
O8 - Extra context menu item: &Google Search - res://C:\Programmer\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://C:\Programmer\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://C:\Programmer\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://C:\Programmer\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://C:\Programmer\Google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Programmer\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1095686875187

Scanned at: 14:36:30  on: 26-09-2004


-- Scan 1 ---------------------------
About:Buster Version 3.0
Reference List : 15

No ADS found on system
Removed 2 Random Key Entries
Attempted Clean Of Temp folder.
Pages Reset... Done!

-- Scan 2 ---------------------------
About:Buster Version 3.0
Reference List : 15

No ADS found on system
Removed 2 Random Key Entries
Attempted Clean Of Temp folder.
Pages Reset... Done!

Liggende gennemtævet i blåt ringhjørne CoolWebSearch, efter nok en udfordring af den regerende mester, der står med begge næver rakt i vejret, mens laurbærkransen bliver hængt om halsen på ham, still champ Fromsej/Teamspywarefri. ;o)
(undskyld)

Så er din log ren, du skal lige deaktivere systemgendannelse, genstarte og genaktivere den samt sætte filvisning til normal.
http://spywarefri.dk/virusscannere.htm#alle - Systemgendannelse
Vi har skrevet et par artikler om sikkerhed på nettet.
http://www.eksperten.dk/artikler/144
http://www.eksperten.dk/artikler/254
Som minimum anbefaler jeg Spywareguard, Spywareblaster, IE-Spyad og IE Privacy Keeper.
Mvh:
Fromsej/Team Spywarefri.

Hvem skal have point? Er Tonnybrandt med i "Team Spywarefri"?

Ja, han er officiel supporter hos os.
Så han og jeg bør vel dele her?
Hvorfor Klokmose lægger det vrøvl han kommer med som svar, har jeg ingen idé om.

så vil jeg bede Tonnybrandt om at lægge et svar ind og acceptere at du får nogle af pointene...

Fromsej > jeg skylder vist en øl *s*

Her kommer svaret og jeg undskylder at jeg spildte din tid med de fejlslagne forsøg, men den lignede altså ikke en der var så svær.

En retfærdig fordeling må vist være 100 point til fromsej for løsningen og 50 point til mig for forsøget, hvis det er ok med alle ?

EN ???
14/1 kommer jeg til at tilbringe i fast rutefart mellem bord og naboens hæk, med alle de pilsnere jeg efterhånden har til gode.*G*

Kan spørgsmålet lukkes ?

Har du glemt dette spørgsmål ?
Det er stadig åbent ..

Takker for point :)

Tak for point.*S*