Websiteviewer - få det væk

Jeg har lige prøvet at starte i fejlsikret tilstand og slette mappen C:\programmer\websiteviewer
Men så snart jeg genstarter ligger den der igen!!

http://www.google.se/search?q=Websiteviewer+removal&sourceid=mozilla-search&start=0&start=0&ie=utf-8&oe=utf-8&client=firefox-a&rls=org.mozilla:da-DK:official

hmm ja....det lød godt nok nemt men det virkede desværre ikke!!!

Jeg tjekker den nu.
Har der været MessengerPlus installeret?

ja på en anden bruger konto!!!

OK, pi..
Nå lad os tage det værste først.

1. Hent Ewido herfra (14 dages version af plus-versionen - herefter bliver den "neddroslet" til gratis-versionen):

http://www.spywarefri.dk/downloads1/ewido-setup.exe

Installer og kør Ewido - opdater programmet (men lad være med at scanne).

2. Hent Adaware her:

http://www.download.com/Ad-Aware-SE-Personal-Edition/3000-8022_4-10045910.html

... og Adwares VX2 plugin her:

http://www.lavasoft.de/software/addons/vx2cleaner.shtml

Installer Adaware (under installationen bliver du spurgt om du vil opdatere og køre en fuld scanning - fjern alle tre flueben), og installer herefter VX2 plugin ved at dobbeltklikke på vx2cleaner_inst.exe (brug alle standard indstillinger)

3. Kør Adaware og opdater programmet med de nyeste opdateringer. Klik på Add-ons i den venstre kolonne. Vælg VX2 Cleaner V2.0 og klik på "Run Tool". Klik på OK - hvis programmet finder noget, så klik på "Clean". Når rensningen er overstået, så skal du klikke på "Close" og lukket programmet.

4. Genstart din computer og kør Adaware igen. Denne gang skal du klikke på "Start" og vælge "Perform smart system scan" - klik herefter på "Next". Når scanningen er gennemført, klik på "Next" - vælg alt hvad programmet finder (højreklik på en linie og vælg "Select all objects". Klik "Next", og klik "OK".

Du bliver spurgt om at køre Adaware ved genstart - klik "OK" og luk Adaware. Genstart din computer.

5. For at få et sidste sikkerhedscheck... kør en fuld scanning med Ewido - husk at opdatere programmet først. Når programmet er færdig med at scanne skal du klikke på "Save Report" (husk hvor du gemmer rapporten).

6. Genstart din computer og læg en frisk HijackThis log herind, sammen med rapporten fra Ewido.

(Husk hele loggen - også det øverste...)

Jeg kan ikke få VX2 cleaner til at virker!! Det står under Plug-ins men jeg kan ikke aktivere det!!

Hvad gør jeg galt??

Øv, jeg havde håbet, nå så bliver det lidt mere besværligt, du har en Trojan kaldet Epolvy, den er noget svær at pelse, men dette skulle gøre tricket.

1. Hent Advanced Process Termination herfra:
http://www.diamondcs.com.au/downloads/apt.zip
Pak programmet ud til dit Skrivebord.

2. Genstart i Fejlsikret tilstand ved at taste F8 under opstart.

3. Dobbeltklik på Min Computer og naviger til C:\WINDOWS\System32. Find filen dnkgxxd.exe.
Du skal ikke slette filen, men hold System32 mappen åben så du kan se infektions-filen.

4. Kør APT.exe som du hentede og pakkede ud før. Find processen dnkgxxd.exe.
Marker processen og klik på Kill 3.

Skift til System32 mappen som du har åben og Slet filen c:\windows\system32\dnkgxxd.exe.

5. Kør HijackThis, klik Scan, og fix:

O2 - BHO: (no name) - {675219BB-061A-8945-FDBF-102735C1A328} - C:\DOCUME~1\Diana\APPLIC~1\Wipebait\LESS SUPPORT.exe (file missing)
O4 - HKLM\..\Run: [belmdz] c:\windows\system32\dnkgxxd.exe r
O4 - HKLM\..\Run: [Move dale coal media] C:\Documents and Settings\All Users\Application Data\Transchinmovedale\openpoke.exe

6. Stadig i fejlsikret, find og slet:
C:\DOCUME~1\Diana\APPLIC~1\Wipebait\ << Mappen.
C:\Documents and Settings\All Users\Application Data\Transchinmovedale\ << Mappen.

7. Genstart og læg en frisk HJT log herind.

super...det vil jeg prøve...!!  Jeg er lige ved at scanne med ewido, og det tager lidt tid!! Når den er færdig gør jeg som du skriver!!

Så nu skal du bare høre!!Jeg fik fixet de 3 filer fra Hijack this, men jeg kunne ikke finde nogen af de filer jeg skulle slette:

C:\DOCUME~1\Diana\APPLIC~1\Wipebait\ << Mappen.
C:\Documents and Settings\All Users\Application Data\Transchinmovedale\ << Mappen.

Efter jeg genstartede kom Websiteviewer ikke igen og min log fil ser ud som følger:

Logfile of HijackThis v1.99.1
Scan saved at 20:50:33, on 07-11-2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Creative\Shared Files\CAMTRAY.EXE
C:\Programmer\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programmer\D-Link\Air USB Utility\AirCFG.exe
C:\Programmer\Trend Micro\Internet Security 2005\pccguide.exe
C:\Programmer\ScanSoft\PaperPort\pptd40nt.exe
C:\Programmer\Brother\ControlCenter2\brctrcen.exe
C:\Programmer\CyberLink\PowerDVD\PDVDServ.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\MSN Messenger\msnmsgr.exe
C:\Programmer\TEXTware\HotKey\TWALINK.EXE
C:\Programmer\Brother\Brmfcmon\BrMfcWnd.exe
C:\WINDOWS\system32\Brmfrmps.exe
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\Programmer\ewido\security suite\ewidoctrl.exe
C:\PROGRA~1\TRENDM~1\INTERN~2\PcCtlCom.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\TRENDM~1\INTERN~2\Tmntsrv.exe
C:\PROGRA~1\TRENDM~1\INTERN~2\tmproxy.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\PROGRA~1\TRENDM~1\INTERN~2\TmPfw.exe
C:\PROGRA~1\TRENDM~1\INTERN~2\TSC.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\Kenneth\Skrivebord\hijackthis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Programmer\Creative\Shared Files\CAMTRAY.EXE
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE VIMICRO USB PC Camera 301x
O4 - HKLM\..\Run: [PVR Agent] C:\Programmer\ELEMENTS Multimedia\PVR Plus\TVR\Scheduled.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programmer\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [D-Link Air USB Utility] C:\Programmer\D-Link\Air USB Utility\AirCFG.exe
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programmer\Trend Micro\Internet Security 2005\pccguide.exe"
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programmer\Fælles filer\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programmer\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programmer\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programmer\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [RemoteControl] C:\Programmer\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmer\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: HotKey.lnk = C:\Programmer\TEXTware\HotKey\TWALINK.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Status Monitor.lnk = C:\Programmer\Brother\Brmfcmon\BrMfcWnd.exe
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programmer\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programmer\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programmer\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.get2net.dk/
O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://www.truedoc.com/activex/tdserver.cab
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15015/CTSUEng.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - C:\WINDOWS\system32\Brmfrmps.exe" -service (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Programmer\ewido\security suite\ewidoctrl.exe
O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~2\PcCtlCom.exe
O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~2\Tmntsrv.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~2\TmPfw.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~2\tmproxy.exe

Er den fikset nu eller hvordan??

Så er din log ren, vi behøver ikke at se flere.
Du bør lige deaktivere systemgendannelse, genstarte og genaktivere samt sætte filvisning til normal.
http://spywarefri.dk/virusscannere.htm#alle - Systemgendannelse.
Åbn en mappe, klik på Funktioner >Mappeindstillinger >Vis.
Sæt flueben ved "Skjul beskyttede operativsystemfiler".
Sæt flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis ikke skjulte filer og mapper".

For at holde den ren kan du kigge på vores pakke til formålet.
http://www.spywarefri.dk/manualer/sikkerhedspakke.htm
Som minimum anbefaler jeg Spywareguard, Spywareblaster, IE-Spyad og IE Privacy Keeper.
Men hvad der er meget vigtigere, du skal installere Servicepack på den, helst Servicepack 2.
http://intern.sdu.dk/it-service/tjenester/ftphotel/ftpindhold/ servicepacks

Et par artikler om sikker surfing finder du her:
http://www.spywarefri.dk/forum/topic.asp?TOPIC_ID=14414
http://fromsej.dk/html/avoid.html
Mvh:
Fromsej/Team Spywarefri.