Avatar billede iceb1977 Nybegynder
27. november 2004 - 20:43 Der er 67 kommentarer og
1 løsning

coolwebsearch her?

Hej Eksperter


Jeg har fået et problem med coolwebsearch tror jeg.

Hvad kan jeg gøre for at komme af med det ?
¨
Jeg har prøvet følgende uden held

spybot adaware cwsshredder.......


Logfile of HijackThis v1.97.7
Scan saved at 20:42:54, on 27-11-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\Explorer.EXE
E:\Programmer\ICQ\ICQ.exe
E:\Programmer\Java\j2re1.4.2_05\bin\jusched.exe
E:\Programmer\Winamp\winampa.exe
E:\Programmer\Fælles filer\Real\Update_OB\realsched.exe
E:\WINDOWS\System32\ctfmon.exe
E:\Programmer\MSN Messenger\MsnMsgr.Exe
E:\Programmer\Meaya\Popup Ad Filter\PopFilter.exe
E:\Programmer\Spybot - Search & Destroy\TeaTimer.exe
E:\Programmer\WinZip\WZQKPICK.EXE
E:\WINDOWS\System32\svchost.exe
E:\Programmer\Internet Explorer\iexplore.exe
E:\WINDOWS\system32\rundll32.exe
E:\Programmer\Internet Explorer\iexplore.exe
E:\Documents and Settings\ice\Skrivebord\antibug\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://kontakt.ofir.dk/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.cybercity.dk:8080
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [Mirabilis ICQ] E:\Programmer\ICQ\ICQ.exe -minimize
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] E:\Programmer\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] E:\Programmer\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "E:\Programmer\Fælles filer\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "E:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Popup Ad Filter] E:\Programmer\Meaya\Popup Ad Filter\PopFilter.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Programmer\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: TeaTimer.exe.lnk = E:\Programmer\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: WinZip Quick Pick.lnk = E:\Programmer\WinZip\WZQKPICK.EXE
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1099166312343
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38290.5427662037
O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://static.photobox.co.uk/sg/common/uploader.ocx
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab



Her er min hijackthis log
Avatar billede parazited Nybegynder
27. november 2004 - 22:00 #1
Brug stinger
Avatar billede parazited Nybegynder
27. november 2004 - 22:00 #2
*Har sendt den til ham*
Avatar billede iceb1977 Nybegynder
27. november 2004 - 22:10 #3
nej det virker ikke ......

Her er min log......


Logfile of HijackThis v1.97.7
Scan saved at 22:10:12, on 27-11-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\Explorer.EXE
E:\Programmer\ICQ\ICQ.exe
E:\Programmer\Java\j2re1.4.2_05\bin\jusched.exe
E:\Programmer\Winamp\winampa.exe
E:\Programmer\Fælles filer\Real\Update_OB\realsched.exe
E:\WINDOWS\System32\ctfmon.exe
E:\Programmer\MSN Messenger\MsnMsgr.Exe
E:\Programmer\Meaya\Popup Ad Filter\PopFilter.exe
E:\Programmer\Spybot - Search & Destroy\TeaTimer.exe
E:\Programmer\WinZip\WZQKPICK.EXE
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\System32\wuauclt.exe
E:\WINDOWS\system32\rundll32.exe
E:\Programmer\Internet Explorer\iexplore.exe
E:\Documents and Settings\ice\Skrivebord\antibug\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://kontakt.ofir.dk/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.cybercity.dk:8080
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [Mirabilis ICQ] E:\Programmer\ICQ\ICQ.exe -minimize
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] E:\Programmer\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] E:\Programmer\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "E:\Programmer\Fælles filer\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "E:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Popup Ad Filter] E:\Programmer\Meaya\Popup Ad Filter\PopFilter.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Programmer\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: TeaTimer.exe.lnk = E:\Programmer\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: WinZip Quick Pick.lnk = E:\Programmer\WinZip\WZQKPICK.EXE
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1099166312343
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38290.5427662037
O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://static.photobox.co.uk/sg/common/uploader.ocx
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Avatar billede kenp Novice
27. november 2004 - 22:31 #4
Start med at hente en nyere udgave af hijackthis http://danborg.org/spy/hjt/hijackthis.exe

også henter du www.spywareinfo.dk/download/mwav.exe også aktiver du alt i opsætningen og sætter den til at scanne ved startup. Når den er færdig med at scanne så laver du en ny log med den nye udgave af hijackthis.
Avatar billede tonnybrandt Nybegynder
27. november 2004 - 22:32 #5
Hent VX2Finder(126) (Win2k,XP) her
http://download.broadbandmedic.com/

Kør VX2Finder.exe og klik "Click to Find VX2.BetterInternet" - klik herefter på "Make log" og læg indholdet af log'en herind.
Avatar billede iceb1977 Nybegynder
27. november 2004 - 23:29 #6
kenp> jeg har prøvet mwav.exe nu og får følgende


Logfile of HijackThis v1.98.2
Scan saved at 23:28:11, on 27-11-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\system32\rundll32.exe
E:\WINDOWS\Explorer.EXE
E:\Programmer\ICQ\ICQ.exe
E:\Programmer\Java\j2re1.4.2_05\bin\jusched.exe
E:\Programmer\Winamp\winampa.exe
E:\Programmer\Fælles filer\Real\Update_OB\realsched.exe
E:\WINDOWS\System32\ctfmon.exe
E:\Programmer\MSN Messenger\MsnMsgr.Exe
E:\Programmer\Meaya\Popup Ad Filter\PopFilter.exe
E:\Programmer\Spybot - Search & Destroy\TeaTimer.exe
E:\Programmer\WinZip\WZQKPICK.EXE
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\System32\wuauclt.exe
E:\Programmer\Internet Explorer\iexplore.exe
E:\Documents and Settings\ice\Skrivebord\antibug\hijackthis\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://kontakt.ofir.dk/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.cybercity.dk:8080
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [Mirabilis ICQ] E:\Programmer\ICQ\ICQ.exe -minimize
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] E:\Programmer\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] E:\Programmer\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "E:\Programmer\Fælles filer\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "E:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Popup Ad Filter] E:\Programmer\Meaya\Popup Ad Filter\PopFilter.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Programmer\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: TeaTimer.exe.lnk = E:\Programmer\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: WinZip Quick Pick.lnk = E:\Programmer\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programmer\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programmer\Messenger\MSMSGS.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1099166312343
O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://static.photobox.co.uk/sg/common/uploader.ocx
Avatar billede iceb1977 Nybegynder
27. november 2004 - 23:35 #7
ton> her er loggen

Log for VX2.BetterInternet File Finder (msg126)

Files Found---

Additional Files---

Keys Under Notify---
crypt32chain
cryptnet
cscdll
CSCSettings
ScCertProp
Schedule
sclgntfy
SensLogn
termsrv
wlballoon


Guardian Key--- is called:

User Agent String---
{F6E26D47-7F39-407C-A567-1A4A4EC05640}
Avatar billede iceb1977 Nybegynder
27. november 2004 - 23:37 #8
jeg får et pop up vindue med denne addresse tit og ofte......

http://69.20.62.53/KEY/REALESTATE.html
Avatar billede tonnybrandt Nybegynder
27. november 2004 - 23:52 #9
Afbryd din forbindelse til Internettet (hiv stikket ud).

Luk alle vinduer undtagen VX2Finder. Kør VX2Finder.exe og klik "Click to Find VX2.BetterInternet" - marker alle filer og klik herefter "Delete these files".

Klik herefter på:

"Guardian.reg"
"User Agent"
"Restore Policy"

Gå i Start -> Kør og skriv: regedit - tast enter

Find og markér i venstre side:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\


I højre side skal du finde {F6E26D47-7F39-407C-A567-1A4A4EC05640} - højreklik på den og vælg "Slet".

Genstart din computer.
Hent og Installer ”Ad-Aware hvis du da ikke har det i forvejen SE version 1.05” (Bemærk ny version)
http://www.download.com/3000-2144-10045910.html?part=69274&subj=dlpage&tag=button
Lad den opdatere sine spywaredefinitioner og kør så en scan (Perform Full System Scan). Efter den har renset hvad den finder, genstart din computer.

Genstart og læg en frisk HijackThis log herind sammen med en VX2Finder log.
Avatar billede tonnybrandt Nybegynder
28. november 2004 - 00:02 #10
Popup'erne forsvinder når du har kørt denne sidste procedure, er jeg sikker på.
Avatar billede iceb1977 Nybegynder
28. november 2004 - 00:11 #11
jeg kan ikke få de filer slettet . Når jeg markerer den er knappen til at slette

dem med stadigvæk inaktiv. Der guardian knap er også inaktiv
Avatar billede tonnybrandt Nybegynder
28. november 2004 - 00:17 #12
Det viser sig at filerne under additional ikke kan/skal slettes.
Jeg testede det lige efter jeg havde sendt proceduren, så blot gå videre i forløbet og slet nøglen i registreringsdatabsen og kør adaware efter en genstart.
Avatar billede iceb1977 Nybegynder
28. november 2004 - 00:18 #13
jeg kan heller ikke finde nøglen ... kan den være skjult ?
Avatar billede tonnybrandt Nybegynder
28. november 2004 - 00:25 #14
Det skulle den ikke være. Jeg havde en log der lignede din og havde ingen problemer med at finde nøglen i registreringsdatabasen.

Prøv lige en gang til og se om du kan finde den, og ellers så gå blot videre med adaware.
Avatar billede iceb1977 Nybegynder
28. november 2004 - 00:36 #15
jeg har i

local machine> software > microsoft > internet explorer> extensions

kun

Sun Java Console

og

msn messanger

og dem skal jeg vel ikke slette og deres numre er ikke det som du nævner ovenfor

jeg går videre med adaware
Avatar billede iceb1977 Nybegynder
28. november 2004 - 00:54 #16
Her er loggen igen

Logfile of HijackThis v1.98.2
Scan saved at 00:53:57, on 28-11-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\rundll32.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\Explorer.EXE
E:\Programmer\ICQ\ICQ.exe
E:\Programmer\Java\j2re1.4.2_05\bin\jusched.exe
E:\Programmer\Winamp\winampa.exe
E:\Programmer\Fælles filer\Real\Update_OB\realsched.exe
E:\WINDOWS\System32\ctfmon.exe
E:\Programmer\MSN Messenger\MsnMsgr.Exe
E:\Programmer\Meaya\Popup Ad Filter\PopFilter.exe
E:\Programmer\Spybot - Search & Destroy\TeaTimer.exe
E:\Programmer\WinZip\WZQKPICK.EXE
E:\WINDOWS\System32\svchost.exe
E:\Documents and Settings\ice\Skrivebord\antibug\hijackthis\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://kontakt.ofir.dk/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.cybercity.dk:8080
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [Mirabilis ICQ] E:\Programmer\ICQ\ICQ.exe -minimize
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] E:\Programmer\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] E:\Programmer\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "E:\Programmer\Fælles filer\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "E:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Popup Ad Filter] E:\Programmer\Meaya\Popup Ad Filter\PopFilter.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Programmer\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: TeaTimer.exe.lnk = E:\Programmer\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: WinZip Quick Pick.lnk = E:\Programmer\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programmer\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programmer\Messenger\MSMSGS.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1099166312343
O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://static.photobox.co.uk/sg/common/uploader.ocx
Avatar billede tonnybrandt Nybegynder
28. november 2004 - 01:05 #17
Prøv lige at fixe dem i HiJackthis:

O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch

Genstart og ny log.

(jeg tvivler på at det kan lade sig gøre at fjerne dem så let)
Avatar billede iceb1977 Nybegynder
28. november 2004 - 01:07 #18
det har jeg gjort og de kommer bare igen og igen....... hvad kan jeg så gøre?
Avatar billede tonnybrandt Nybegynder
28. november 2004 - 01:36 #19
Der findes et vx2 modul til AdAware, men jeg er lige nødt til at downloade det og se om det vil køre på den nye version af AdAware ... Vender tilbage når jeg lige har afprøvet det.
Informationen er her: http://www.lavasoft.de/software/plugins/vx2cleaner.shtml
Avatar billede tonnybrandt Nybegynder
28. november 2004 - 01:51 #20
Ok, Du downloader denne: http://download.lavasoft.de.edgesuite.net/public/plvx2cleaner.exe

Den installerer du så.

Så starter du addaware op, og klikker add-ons. Så markerer du vx2 cleaneren og trykker run tool.
Er den inficeret trykker du Clean System, genstarter computeren og scanner den almindeligt med AdAware, fjern alt hvad den finder. Genstart igen og kør en sidste scan for at være sikker på at det er væk.
Avatar billede iceb1977 Nybegynder
28. november 2004 - 02:00 #21
Hej

Nej det virker ikke hvad kan jeg så gøre?

Logfile of HijackThis v1.98.2
Scan saved at 01:58:16, on 28-11-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\rundll32.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\Explorer.EXE
E:\Programmer\ICQ\ICQ.exe
E:\Programmer\Java\j2re1.4.2_05\bin\jusched.exe
E:\Programmer\Winamp\winampa.exe
E:\Programmer\Fælles filer\Real\Update_OB\realsched.exe
E:\WINDOWS\System32\ctfmon.exe
E:\Programmer\MSN Messenger\MsnMsgr.Exe
E:\Programmer\Meaya\Popup Ad Filter\PopFilter.exe
E:\Programmer\Spybot - Search & Destroy\TeaTimer.exe
E:\Programmer\WinZip\WZQKPICK.EXE
E:\WINDOWS\System32\svchost.exe
E:\Documents and Settings\ice\Skrivebord\antibug\hijackthis\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://kontakt.ofir.dk/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.cybercity.dk:8080
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O2 - BHO: (no name) - {002EB272-2590-4693-B166-FBD5D9B6FEA6} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [Mirabilis ICQ] E:\Programmer\ICQ\ICQ.exe -minimize
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] E:\Programmer\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] E:\Programmer\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "E:\Programmer\Fælles filer\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "E:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Popup Ad Filter] E:\Programmer\Meaya\Popup Ad Filter\PopFilter.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Programmer\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: TeaTimer.exe.lnk = E:\Programmer\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: WinZip Quick Pick.lnk = E:\Programmer\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programmer\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programmer\Messenger\MSMSGS.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1099166312343
O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://static.photobox.co.uk/sg/common/uploader.ocx
Avatar billede tonnybrandt Nybegynder
28. november 2004 - 02:07 #22
Prøv lige at køre det tool igen, men denne gang i fejlsikret tilstand. Jeg prøver imens at finde noget mere info om den præcise infektion.
Avatar billede tonnybrandt Nybegynder
28. november 2004 - 03:09 #23
Nu har jeg studeret en del logs, og den infektion fixes i 80% af tilfældene med vx2 finder'en/Adaware vx2 plugin'en og de sidste 20% vha en ganske alm. HiJackThis.
Jeg kom lige til at se at der var tilkommet en ekstra linie i den nye log, samt et bho objekt som ikke var der før.

Hvis ovennævnte ikke fixede problemet så prøv dette:
Afinstaller Spybot/TeaTimer i tilføj/fjern programmer.

Genstart i fejlsikret tilstand.

Kør HiJackThis og fix disse linier:

O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O2 - BHO: (no name) - {002EB272-2590-4693-B166-FBD5D9B6FEA6} - (no file)
O4 - HKLM\..\Run: [TkBellExe] "E:\Programmer\Fælles filer\Real\Update_OB\realsched.exe"  -osboot

Klik start | kør, skriv notepad og tryk enter. Klik fil | åbn, og find denne fil:
C:\windows\system32\drivers\etc\hosts og check at der ikke længere er nogen linier i filen med ipaddressen 69.20.16.183
Er der nogen, så slet dem, og gem filen.

Genstart så normalt og kom med en ny log.
Avatar billede iceb1977 Nybegynder
28. november 2004 - 03:19 #24
ok SÅ virker det. Dog når jeg så skifter tilbage til normal start så kommer

de 3 linier igen.....

Jeg har undersøgt den ip og det hele peger på noget der hedder

nictechnetworks.com

Ergo må det være en fil som er aktiv noramlt men passiv i fejlsikret
Avatar billede tonnybrandt Nybegynder
28. november 2004 - 03:23 #25
Jeg kigger videre på det imorgen. Det er blevet sent ..
Avatar billede iceb1977 Nybegynder
28. november 2004 - 03:30 #26
Som du kan se virker det stadigvæk ikke men jeg prøver at afinstallere

spybot og teatimer og prøver så igen...


Logfile of HijackThis v1.98.2
Scan saved at 03:28:22, on 28-11-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\rundll32.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\Explorer.EXE
E:\Programmer\ICQ\ICQ.exe
E:\Programmer\Java\j2re1.4.2_05\bin\jusched.exe
E:\Programmer\Winamp\winampa.exe
E:\WINDOWS\System32\ctfmon.exe
E:\Programmer\MSN Messenger\MsnMsgr.Exe
E:\Programmer\Meaya\Popup Ad Filter\PopFilter.exe
E:\Programmer\Spybot - Search & Destroy\TeaTimer.exe
E:\Programmer\WinZip\WZQKPICK.EXE
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\System32\wuauclt.exe
E:\Documents and Settings\ice\Skrivebord\antibug\hijackthis\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://kontakt.ofir.dk/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.cybercity.dk:8080
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [Mirabilis ICQ] E:\Programmer\ICQ\ICQ.exe -minimize
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] E:\Programmer\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] E:\Programmer\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "E:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Popup Ad Filter] E:\Programmer\Meaya\Popup Ad Filter\PopFilter.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Programmer\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: TeaTimer.exe.lnk = E:\Programmer\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: WinZip Quick Pick.lnk = E:\Programmer\WinZip\WZQKPICK.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programmer\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programmer\Messenger\MSMSGS.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1099166312343
O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://static.photobox.co.uk/sg/common/uploader.ocx
Avatar billede tonnybrandt Nybegynder
28. november 2004 - 11:24 #27
Ja, prøv at afinstallere Teatimer (Spywareguard) og fix de 3 linier og se om det hjælper noget.

Hvis ikke så prøv dette:

(Jeg skyder lidt i blinde nu, så bær over med mig)

Hent dette program og pak det ud til sin egen mappe:
http://members.blackbox.net/hp_links/21/nikolaus.rameis/_data/startdreck.zip

Kør Startdreck.exe - tryk på "Config" - tryk "unmark all" - sæt et flueben i:
Registry -> Run Keys
System/drivers> Running processes
Tryk "Ok"

Tryk "Save" og gem log'en et sted, hvor du kan finde den igen. Læg log'en herind.
Avatar billede iceb1977 Nybegynder
28. november 2004 - 14:43 #28
Jeg har lige fundet ud af at når jeg slukker for nettet så kan jeg starte

i både fejlsikret og normal og stadigvæk kommer de 3 linier IKKE.

Når jeg så går på nettet gør de.

Her er loggen


StartDreck (build 2.1.7 public stable) - 2004-11-28 @ 14:40:34 (GMT +01:00)
Platform: Windows XP (Win NT 5.1.2600 Service Pack 1)
Internet Explorer: 6.0.2800.1106
Logged in as ice at ICE-YPO7RI9YHMW

»Registry
»Run Keys
  »Current User
  »Run
    *CTFMON.EXE=E:\WINDOWS\System32\ctfmon.exe
    *MsnMsgr="E:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
    *Popup Ad Filter=E:\Programmer\Meaya\Popup Ad Filter\PopFilter.exe
  »RunOnce
  »Default User
  »Run
    *CTFMON.EXE=E:\WINDOWS\System32\CTFMON.EXE
  »RunOnce
  »Local Machine
  »Run
    *Mirabilis ICQ=E:\Programmer\ICQ\ICQ.exe -minimize
    *Cmaudio=RunDll32 cmicnfg.cpl,CMICtrlWnd
    *SunJavaUpdateSched=E:\Programmer\Java\j2re1.4.2_05\bin\jusched.exe
    *WinampAgent=E:\Programmer\Winamp\winampa.exe
    *QuickTime Task="E:\Programmer\QuickTime\qttask.exe" -atboottime
    +OptionalComponents
    +MSFS
      *Installed=1
    +MAPI
      *NoChange=1
      *Installed=1
    +MAPI
      *NoChange=1
      *Installed=1
  »RunOnce
  »RunServices
  »RunServicesOnce
  »RunOnceEx
  »RunServicesOnceEx
»Files
»System/Drivers
»Running Processes
  +0=<idle>
  +4=<system>
  +276=\SystemRoot\System32\smss.exe
  +324=<unkown>
  +348=\??\E:\WINDOWS\system32\winlogon.exe
  +392=E:\WINDOWS\system32\services.exe
  +404=E:\WINDOWS\system32\lsass.exe
  +568=E:\WINDOWS\system32\svchost.exe
  +592=E:\WINDOWS\System32\svchost.exe
  +668=<unkown>
  +728=<unkown>
  +804=E:\WINDOWS\system32\rundll32.exe
  +916=E:\WINDOWS\system32\spoolsv.exe
  +1084=E:\WINDOWS\Explorer.EXE
  +1188=E:\Programmer\ICQ\ICQ.exe
  +1204=E:\Programmer\Java\j2re1.4.2_05\bin\jusched.exe
  +1220=E:\Programmer\Winamp\winampa.exe
  +1236=E:\WINDOWS\System32\ctfmon.exe
  +1244=E:\Programmer\MSN Messenger\MsnMsgr.Exe
  +1252=E:\Programmer\Meaya\Popup Ad Filter\PopFilter.exe
  +1368=E:\Programmer\WinZip\WZQKPICK.EXE
  +1416=<unkown>
  +1512=E:\WINDOWS\System32\svchost.exe
  +504=E:\Programmer\Internet Explorer\iexplore.exe
  +940=E:\Documents and Settings\ice\Skrivebord\startdreck\StartDreck.exe
»Application specific
Avatar billede iceb1977 Nybegynder
28. november 2004 - 14:44 #29
altså må man vel kunne overvåge hvilken fil der via nettet skriver disse

linier i min hosts fil.......
Avatar billede tonnybrandt Nybegynder
28. november 2004 - 14:49 #30
Vil det sige at linierne ikke længere skrives tilbage ?

Hvis det er korrekt, så var det Spybot's TeaTimer der ufrivilligt var den skyldige.

Loggen viste at der ikke var nogen "superskjulte" filer startet.
Avatar billede tonnybrandt Nybegynder
28. november 2004 - 14:50 #31
Hmm.. jeg misforstod vist det du havde skrevet :(
Avatar billede tonnybrandt Nybegynder
28. november 2004 - 14:51 #32
Jeg beder lige en kollega kigge ind i spørgsmålet. Jeg må overse et eller andet.
Avatar billede iceb1977 Nybegynder
28. november 2004 - 14:53 #33
nej det har ikke noget med spybot at gøre det er selve forbindelsen til

nettet som afgør om de 3 redirections bliver skrevet ind igen i hosts filen.

Det er bare i orden.
Avatar billede tonnybrandt Nybegynder
28. november 2004 - 15:21 #34
Jeg har konfereret med en af mine kolleger, Finn fra Spywarefri og det viser sig at vi har en lige så genstridig basse ovre på Spywarefri: http://www.spywarefri.dk/forum/topic.asp?TOPIC_ID=7918

Det sidste råd i det spørgsmål er dette:
http://www.look2me.com/cgi-bin/UnInstaller
Læg en ny log ind, når du har kørt den.

Brugeren er endnu ikke vendt tilbage med et log, så vi kunne se om det virkede, men det skal ikke afholde dig fra at afprøve rådet.

Jeg har prøvet at hente den ned, og du får en kode inden du skal downloade, og denne skal du lige gemme da det åbenbart er meningen du skal bruge den hvis den kan finde snavset på din computer.
Avatar billede iceb1977 Nybegynder
28. november 2004 - 15:33 #35
Den fil har jeg prøvet og den sagde jeg ikke havde look2me .......
Avatar billede tonnybrandt Nybegynder
28. november 2004 - 15:34 #36
Øv, det sagde den også ved mig. Leder videre ...
Avatar billede iceb1977 Nybegynder
28. november 2004 - 15:36 #37
kan man ikke løse det ved at overvåge processerne der går fra min pc og ud

på nettet og den anden vej ?
Avatar billede tonnybrandt Nybegynder
28. november 2004 - 15:36 #38
Hov forresten. Prøv lige at lave en søgning i regedit efter denne linie:
F6E26D47-7F39-407C-A567-1A4A4EC05640

Prøv så at fortælle mig hvor den bliver fundet.
(Når den har fundet en, trykker du blot F3 for at finde den næste.)
Avatar billede tonnybrandt Nybegynder
28. november 2004 - 15:38 #39
Nej, for den er integreret i Internet explorer, nærmest som et plugin, så for en firewall vil det se ud som om det blot er internet explorer, der skal på nettet.
Avatar billede iceb1977 Nybegynder
28. november 2004 - 15:42 #40
hmmm men jeg får jo de linier skrevet ind uden jeg starter internet explorer

op.........

Det er nok at jeg starter min lan forbindelse.
Avatar billede tonnybrandt Nybegynder
28. november 2004 - 16:06 #41
Ok, underligt.
Prøv lige at hente denne splinternye version af HiJackThis v1.99.0
Den viser også services. Måske den kan vise et eller andet.
http://homepage.ntlworld.com/dvk01uk/files/HijackThis.zip
Avatar billede iceb1977 Nybegynder
28. november 2004 - 16:17 #42
det kører nu tror jeg. Jeg tog lige netforbindelsen fra og til igen og

genstartede. Tror du det er sikkert at indstallere spybot igen?

Her er min log......


Logfile of HijackThis v1.98.2
Scan saved at 16:17:07, on 28-11-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\rundll32.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\Explorer.EXE
E:\Programmer\ICQ\ICQ.exe
E:\Programmer\Java\j2re1.4.2_05\bin\jusched.exe
E:\Programmer\Winamp\winampa.exe
E:\WINDOWS\System32\ctfmon.exe
E:\Programmer\MSN Messenger\MsnMsgr.Exe
E:\Programmer\Meaya\Popup Ad Filter\PopFilter.exe
E:\Programmer\WinZip\WZQKPICK.EXE
E:\WINDOWS\System32\svchost.exe
E:\Programmer\Internet Explorer\iexplore.exe
E:\WINDOWS\System32\wuauclt.exe
E:\Programmer\X-Cleaner\XCleaner_free.exe
E:\Documents and Settings\ice\Skrivebord\antibug\hijackthis\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://kontakt.ofir.dk/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.cybercity.dk:8080
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [Mirabilis ICQ] E:\Programmer\ICQ\ICQ.exe -minimize
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] E:\Programmer\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] E:\Programmer\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "E:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Popup Ad Filter] E:\Programmer\Meaya\Popup Ad Filter\PopFilter.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Programmer\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: TeaTimer.exe.lnk = E:\Programmer\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: WinZip Quick Pick.lnk = E:\Programmer\WinZip\WZQKPICK.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programmer\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programmer\Messenger\MSMSGS.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1099166312343
O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://static.photobox.co.uk/sg/common/uploader.ocx
Avatar billede tonnybrandt Nybegynder
28. november 2004 - 16:24 #43
Ja, installer endelig Spybot igen.
Hvad har du gjort for at fixe problemet ?
Avatar billede iceb1977 Nybegynder
28. november 2004 - 16:28 #44
SÅ var den der igen ....... underligt.....


Logfile of HijackThis v1.98.2
Scan saved at 16:28:44, on 28-11-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\rundll32.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\Explorer.EXE
E:\Programmer\ICQ\ICQ.exe
E:\Programmer\Java\j2re1.4.2_05\bin\jusched.exe
E:\Programmer\Winamp\winampa.exe
E:\WINDOWS\System32\ctfmon.exe
E:\Programmer\MSN Messenger\MsnMsgr.Exe
E:\Programmer\Meaya\Popup Ad Filter\PopFilter.exe
E:\Programmer\WinZip\WZQKPICK.EXE
E:\WINDOWS\System32\svchost.exe
E:\Programmer\Internet Explorer\iexplore.exe
E:\Programmer\PestPatrol\PestPatrol.exe
E:\Documents and Settings\ice\Skrivebord\antibug\hijackthis\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://kontakt.ofir.dk/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.cybercity.dk:8080
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [Mirabilis ICQ] E:\Programmer\ICQ\ICQ.exe -minimize
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] E:\Programmer\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] E:\Programmer\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "E:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Popup Ad Filter] E:\Programmer\Meaya\Popup Ad Filter\PopFilter.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Programmer\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: TeaTimer.exe.lnk = E:\Programmer\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: WinZip Quick Pick.lnk = E:\Programmer\WinZip\WZQKPICK.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programmer\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programmer\Messenger\MSMSGS.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1099166312343
O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://static.photobox.co.uk/sg/common/uploader.ocx
Avatar billede tonnybrandt Nybegynder
28. november 2004 - 16:30 #45
Prøv lige at lægge en log fra den nye version af HiJackThis.
Avatar billede tonnybrandt Nybegynder
28. november 2004 - 16:31 #46
Avatar billede iceb1977 Nybegynder
28. november 2004 - 16:42 #47
Det er godt nok underligt. Nu prøvede jeg at tage netforbindelsen og nu

kom den ikke igen men her er min log


Logfile of HijackThis v1.98.2
Scan saved at 16:41:20, on 28-11-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\rundll32.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\Explorer.EXE
E:\Programmer\ICQ\ICQ.exe
E:\Programmer\Java\j2re1.4.2_05\bin\jusched.exe
E:\Programmer\Winamp\winampa.exe
E:\WINDOWS\System32\ctfmon.exe
E:\Programmer\MSN Messenger\MsnMsgr.Exe
E:\Programmer\Meaya\Popup Ad Filter\PopFilter.exe
E:\Programmer\WinZip\WZQKPICK.EXE
E:\WINDOWS\System32\svchost.exe
E:\PROGRA~1\MOZILL~1\firefox.exe
E:\Documents and Settings\ice\Skrivebord\antibug\hijackthis\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://kontakt.ofir.dk/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.cybercity.dk:8080
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [Mirabilis ICQ] E:\Programmer\ICQ\ICQ.exe -minimize
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] E:\Programmer\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] E:\Programmer\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "E:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Popup Ad Filter] E:\Programmer\Meaya\Popup Ad Filter\PopFilter.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Programmer\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: TeaTimer.exe.lnk = E:\Programmer\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: WinZip Quick Pick.lnk = E:\Programmer\WinZip\WZQKPICK.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programmer\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programmer\Messenger\MSMSGS.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1099166312343
O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://static.photobox.co.uk/sg/common/uploader.ocx
Avatar billede iceb1977 Nybegynder
28. november 2004 - 16:42 #48
jeg kører med firefox browser nu ......
Avatar billede tonnybrandt Nybegynder
28. november 2004 - 16:44 #49
Gider du lige lægge en log fra den nye version, som jeg skrev tidligere *s*
Det er stadig v.1.98.2 og det skal være v1.99.0
Avatar billede iceb1977 Nybegynder
28. november 2004 - 16:59 #50
dit link leder ikke frem til hijackthis 1.99 men 1.98.2
Avatar billede tonnybrandt Nybegynder
28. november 2004 - 17:04 #51
Underligt. Jeg downloadede den derfra og fik den rigtige, men det gør jeg ikke længere.
Her er et link der så burde virke:
http://www.spywareinfo.dk/download/hijackthis.exe
Avatar billede iceb1977 Nybegynder
28. november 2004 - 17:15 #52
Logfile of HijackThis v1.99.0
Scan saved at 17:14:37, on 28-11-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\rundll32.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\Explorer.EXE
E:\Programmer\ICQ\ICQ.exe
E:\Programmer\Java\j2re1.4.2_05\bin\jusched.exe
E:\Programmer\Winamp\winampa.exe
E:\WINDOWS\System32\ctfmon.exe
E:\Programmer\MSN Messenger\MsnMsgr.Exe
E:\Programmer\Meaya\Popup Ad Filter\PopFilter.exe
E:\Programmer\WinZip\WZQKPICK.EXE
E:\WINDOWS\System32\svchost.exe
E:\PROGRA~1\MOZILL~1\firefox.exe
E:\WINDOWS\System32\wuauclt.exe
E:\Documents and Settings\ice\Skrivebord\antibug\hijackthis\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://kontakt.ofir.dk/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.cybercity.dk:8080
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [Mirabilis ICQ] E:\Programmer\ICQ\ICQ.exe -minimize
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] E:\Programmer\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] E:\Programmer\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "E:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Popup Ad Filter] E:\Programmer\Meaya\Popup Ad Filter\PopFilter.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Programmer\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: TeaTimer.exe.lnk = E:\Programmer\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: WinZip Quick Pick.lnk = E:\Programmer\WinZip\WZQKPICK.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programmer\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programmer\Messenger\MSMSGS.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1099166312343
O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://static.photobox.co.uk/sg/common/uploader.ocx
O23 - Service: Sony SPTI Service - Sony Corporation - E:\PROGRA~1\FLLESF~1\SONYSH~1\AVLib\Sptisrv.exe
Avatar billede tonnybrandt Nybegynder
28. november 2004 - 17:43 #53
Ok, den nye version bragte ikke noget nyt på banen. Det eneste som jeg bider mærke i, er at sålænge du kører mozilla firefox, vender snavset ikke tilbage. Jeg er ret sikker på at det er der med det samme du starter Internet Explorer op og der er netforbindelse.

Lige pt ved jeg ikke hvad vi skal gøre ved det. Vi er sådan set ikke kommet et skridt videre end da vi startede, bortset at jeg har lært en masse om den infektion, uden at kunne finde det helt rigtige fix.
Avatar billede iceb1977 Nybegynder
28. november 2004 - 18:26 #54
nej ikke korrekt. Jeg har lige fået den igen uden at køre internet explorer ergo

har det kun med netforbindelsen at gøre. Dog fik jeg en pop up besked lige før jeg

fik linierne ind igen men nåede ikke at få skrevet den ned......
Avatar billede iceb1977 Nybegynder
28. november 2004 - 19:52 #55
hvad kan jeg så gøre ?
Avatar billede tonnybrandt Nybegynder
28. november 2004 - 23:14 #56
Prøv lige at holde ud et par dage og lev med problemet. Finn er aktiv i tråden på spywarefri og han er helt i særklasse internationalt mht bekæmpelse af Spyware, så jeg regner stærkt med at der kommer en løsning der som vi så kan bruge på din computer.
Jeg har koblet mig på tråden derovre og skal nok vende tilbage i dette spørgsmål så snart der er en løsning eller konklusion i spywarefri tråden.
Avatar billede iceb1977 Nybegynder
29. november 2004 - 11:40 #57
Helt i orden. Jeg har nu fundet ud af at den pop up kun kommer når

der er en aktiv browser og altså ikke når man f.eks kun bruger msn til

at chatte med.
Avatar billede tonnybrandt Nybegynder
01. december 2004 - 07:20 #58
Der er ikke en opklaring endnu, men det viser sig at der var en snavset service på hans computer, så vi kigger lige efter om du har den samme service:

Hent og pak dette program ud til Skrivebordet (det skal pakkes ud - ikke køres direkte fra zip):
http://www.bleepingcomputer.com/files/windows/ServiceFilter.zip
Kør programmet - det vil åbne en tekstfil - kopier indholdet herind.
Avatar billede iceb1977 Nybegynder
01. december 2004 - 11:18 #59
Ok nu har jeg kørt servicefilter.vbs


The script did not recognize the services listed below.
This does not mean that they are a problem.

To copy the entire contents of this document for posting:
At the top of this window click "Edit" then "Select All"
Next click "Edit" again then "Copy"
Now right click in the forum post box then click "Paste"

########################################

ServiceFilter 1.1
by rand1038

Microsoft Windows XP Home Edition
Version: 5.1.2600 Service Pack 1
dec 1, 2004 11:14:57


---> Begin Service Listing <---

Unknown Service # 1
Service Name: SPTISRV
Display Name: Sony SPTI Service
Start Mode: Manual
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: e:\progra~1\fllesf~1\sonysh~1\avlib\sptisrv.exe
State: Stopped
Process ID: 0
Started: Falsk
Exit Code: 1077
Accept Pause: Falsk
Accept Stop: Falsk

Unknown Service #2
Service Name: SwPrv
Display Name: MS Software Shadow Copy Provider
Start Mode: Manual
Start Name: LocalSystem
Description: Administrerer softwarebaserede øjebliksbilleder, der tages af tjenesten Volume Shadow Copy. Hvis ...
Service Type: Own Process
Path: e:\windows\system32\dllhost.exe /processid:{b92148ad-b206-48af-ae93-061eaf94fc70}
State: Stopped
Process ID: 0
Started: Falsk
Exit Code: 1077
Accept Pause: Falsk
Accept Stop: Falsk

---> End Service Listing <---

There are 75 Win32 services on this machine.
2 were unrecognized.

Script Execution Time: 1,265625 seconds.
Avatar billede tonnybrandt Nybegynder
01. december 2004 - 11:25 #60
Hmm.. vi går i venteposition igen, for begge de services er ok :(
Avatar billede iceb1977 Nybegynder
01. december 2004 - 18:10 #61
det er i orden jeg venter.......
Avatar billede iceb1977 Nybegynder
02. december 2004 - 22:31 #62
I internet explorer får jeg et pop up vindue men i netscape og i firefox

får jeg den pågældende url åbnet i mit aktive vindue mystisk ...
Avatar billede iceb1977 Nybegynder
04. december 2004 - 16:14 #63
så har jeg slettet localNRD.dll som jeg havde tre af og det virkede

også og linierne kom ikke tilbage lige indtil jeg genstartede.....

Kender du til den fil ?
Avatar billede tonnybrandt Nybegynder
04. december 2004 - 21:05 #64
Ja, det er snavs og er en af dem som ses i rigtigt mange logs.

Det bringer os desværre ikke tættere på en løsning, og loggen på spywarefri er gået lidt i stå i øjeblikket, men jeg overvåger den stadig.
Avatar billede iceb1977 Nybegynder
05. december 2004 - 14:29 #65
hey er det korrekt den hedder vx2 version 3 og den skifter navne når man

sletter den?
Avatar billede iceb1977 Nybegynder
10. december 2004 - 09:41 #66
Nu har jeg løst det. Tonny læg lige et svar ok ? Du kan lige få de points...
Avatar billede tonnybrandt Nybegynder
12. december 2004 - 16:39 #67
Har du løst det ?
Loggen på spywarefri er lige blevet løst igår, men jeg har ikke lige haft tid til at sætte mig ordentligt ind i hvad løsningen var, så derfor har jeg ikke skrevet.

Her kommer ihvertfald et svar :)
Avatar billede tonnybrandt Nybegynder
13. december 2004 - 13:37 #68
Takker for point :)
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester



IT-JOB

Metroselskabet og Hovedstadens Letbane

BIM Coordinator

Cognizant Technology Solutions Denmark ApS

Test Manager

Roskilde Kommune

Digitaliseringschef