Virus / Spyware - Hvad nu ?

Lige et lille tillæg fra Antiwir :



Date of preparation of the report file: 6. januar 2006  21:07

AVSCAN.EXE    : 7.0.0.14    520232    20-12-2005 13:36:58
ANTIVIR3.VDF  : 6.33.0.104  46592    06-01-2006 19:55:18

Jobname: 'Manual Selection'

Scanning for 277947 virus strains and unwanted programs.

Licensed to:        AntiVir PersonalEdition Classic
Serialnumber:      0000149996-WURGE-0001
Platform:          Windows XP
Windowsversion:    (Service Pack 2)  [5.1.2600]
Username:          Kim
Computername:      HJEMME-D2JKDLOW

Versioninformations:
AVSCAN.DLL    : 7.0.0.14    42024    20-12-2005 13:36:58
LUKE.DLL      : 7.0.0.14    114728    20-12-2005 13:36:58
LUKERES.DLL    : 7.0.0.14    27688    20-12-2005 13:36:58
AVEWIN32.DLL  : 6.33.0.11    1016320  24-11-2005 16:38:22
AVPREF.DLL    : 6.33.0.0    38440    08-11-2005 07:42:34
AVREP.DLL      : 6.33.0.100  1617960  06-01-2006 19:55:18
AVPACK32.DLL  : 6.33.0.0    327720    06-01-2006 19:55:18
AVREG.DLL      : 6.31.0.90    27688    28-07-2005 10:06:36
NETNT.DLL      : 6.32.0.0    6696      27-09-2005 07:56:50
NETNW.DLL      : 6.32.0.0    9768      27-09-2005 07:56:50


Start of the scan: 6. januar 2006  21:07


Start scanning bootsectors:

Bootsector 'C:'
      [NOTE]      No virus was found!
Bootsector 'D:'
      [NOTE]      No virus was found!

Start scanning the registry.

The registry was scanned ( 30 files ).


Start the file scan:

C:\hiberfil.sys
      [WARNING]  The file could not be opened!
C:\PAGEFILE.SYS
      [WARNING]  The file could not be opened!
C:\WINDOWS\system32\config\SECURITY
      [WARNING]  The file could not be opened!
C:\WINDOWS\system32\config\SECURITY.LOG
      [WARNING]  The file could not be opened!
C:\WINDOWS\system32\config\SOFTWARE.LOG
      [WARNING]  The file could not be opened!
C:\WINDOWS\system32\config\SYSTEM.LOG
      [WARNING]  The file could not be opened!
C:\WINDOWS\system32\config\DEFAULT.LOG
      [WARNING]  The file could not be opened!
C:\WINDOWS\system32\config\SAM
      [WARNING]  The file could not be opened!
C:\WINDOWS\system32\config\SAM.LOG
      [WARNING]  The file could not be opened!
C:\WINDOWS\system32\config\system
      [WARNING]  The file could not be opened!
C:\WINDOWS\system32\config\software
      [WARNING]  The file could not be opened!
C:\WINDOWS\system32\config\default
      [WARNING]  The file could not be opened!
C:\WINDOWS\SoftwareDistribution\EventCache\{ECBC623F-1CDE-4C99-B5EF-4AB4B956F7B5}.bin
      [WARNING]  The file could not be opened!
C:\Documents and Settings\NetworkService.NT AUTHORITY\NTUSER.DAT
      [WARNING]  The file could not be opened!
C:\Documents and Settings\NetworkService.NT AUTHORITY\ntuser.dat.LOG
      [WARNING]  The file could not be opened!
C:\Documents and Settings\NetworkService.NT AUTHORITY\Lokale indstillinger\Application Data\Microsoft\Windows\UsrClass.dat
      [WARNING]  The file could not be opened!
C:\Documents and Settings\NetworkService.NT AUTHORITY\Lokale indstillinger\Application Data\Microsoft\Windows\UsrClass.dat.LOG
      [WARNING]  The file could not be opened!
C:\Documents and Settings\LocalService.NT AUTHORITY\NTUSER.DAT
      [WARNING]  The file could not be opened!
C:\Documents and Settings\LocalService.NT AUTHORITY\ntuser.dat.LOG
      [WARNING]  The file could not be opened!
C:\Documents and Settings\LocalService.NT AUTHORITY\Lokale indstillinger\Application Data\Microsoft\Windows\UsrClass.dat
      [WARNING]  The file could not be opened!
C:\Documents and Settings\LocalService.NT AUTHORITY\Lokale indstillinger\Application Data\Microsoft\Windows\UsrClass.dat.LOG
      [WARNING]  The file could not be opened!
C:\Documents and Settings\Kim\NTUSER.DAT
      [WARNING]  The file could not be opened!
C:\Documents and Settings\Kim\NTUSER.DAT.LOG
      [WARNING]  The file could not be opened!
C:\Documents and Settings\Kim\Lokale indstillinger\Application Data\Microsoft\Windows\UsrClass.dat
      [WARNING]  The file could not be opened!
C:\Documents and Settings\Kim\Lokale indstillinger\Application Data\Microsoft\Windows\UsrClass.dat.LOG
      [WARNING]  The file could not be opened!


End of the scan: 6. januar 2006  21:59
Used time: 52:57 min

The scan has been done completely.

  4294 Scanning directories
244437 Files were scanned
      0 viruses and/or unwanted programs was found
      0 files were deleted
      0 files were repaired
      0 files were moved to quarantine
      0 files were renamed
  3532 Archives were scanned
    50 Warnings
      0 Notes

Lad os se en hijackthis også: www.arlet.dk/hjt.htm

Den kommer her - linket var det bare for jeg kunne hente programmet ??

ogfile of HijackThis v1.99.1
Scan saved at 23:05:54, on 06-01-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\ewido anti-malware\ewidoctrl.exe
C:\Programmer\ewido anti-malware\ewidoguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\HP\HP Software Update\HPWuSchd2.exe
C:\Programmer\HP\hpcoretech\hpcmpmgr.exe
C:\Programmer\HP\hpcoretech\comp\hptskmgr.exe
C:\Programmer\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\NCLAUNCH.EXe
C:\Programmer\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programmer\SpywareGuard\sgmain.exe
C:\Programmer\SpywareGuard\sgbhp.exe
C:\Programmer\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmer\AntiVir PersonalEdition Classic\AVGNT.EXE
C:\Programmer\AntiVir PersonalEdition Classic\sched.exe
C:\Programmer\ewido anti-malware\securitysuite.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\Kim\Skrivebord\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://signon.stofanet.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programmer\SpywareGuard\dlprotect.dll
O4 - HKLM\..\Run: [DXDllRegExe] dxdllreg.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programmer\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programmer\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programmer\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe
O4 - Startup: SpywareGuard.lnk = C:\Programmer\SpywareGuard\sgmain.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Adobe Reader Hurtigstart.lnk = C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmer\HP\Digital Imaging\bin\hpqtra08.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1111343298551
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programmer\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programmer\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmer\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmer\ewido anti-malware\ewidoguard.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

Skal måske lige fortælle at jeg også har Spywareguard liggende på makinen - kunne se det måske havde noget at sige ??

Det ser meget fint ud.

For at rense helt ud:

Hent Ccleaner: http://www.ccleaner.com/ccdownload.asp
Installer programmet, men lad vær med at køre det endnu!
Husk at vælge dansk ved installationen.


Hent denne scanner.
ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe
(men lad være med at scanne endnu).


Genstart computeren i fejlsikret tilstand(Du skal klikke på f8 tasten under genstarten (ca. lige når der er talt ram), og så vælge fejlsikret tilstand. Er du i tvivl, så klik bare på f8 flere gange.)


Nu skal du køre CCleaner, som du hentede tidligere.
Tryk så på "Renser" i menuen i venstre side.
Under windows fanebladet skal du fjerne hakket i cookies
Nu skal du trykke på knappen "Kør Cleaner" - det gør du mindst 2 gange.
Tryk så på "Problemer" i menuen i venstre side.
Nu skal du trykke på knappen "Skan efter problemer" og efter at den er færdig med skanne på "Udbedre valgte problemer.." Sig ja til at gemme en backup og tryk dernæst på "Udbedre alle valgte problemer" - det gør du mindst 2 gange.
Luk programmet.


Dobbeltklik på drweb-cureit.exe, den vil køre en expressscan, det siger du ja til.
Når den skriver Done nederst til venstre, skal du klikke på Options->Change settings.
Skift til fanebladet Scan, fjern fluebenet ved Heuristic analysis.
Skift til fanebladet Actions, her skal alle punkter under Malware sættes til Rename.
Klik så på det eller de drev du vil have scannet, der kommer en rød prik for at vise det/de er valgt.

Klik så på den grønne pil ovre til højre på siden, så starter scanningen.
Første gang Dr.Web finder noget, klik "Yes to All", så fjerner den hvad den finder.
Klik så på Start->Søg, find filen drweb32w.log kopier det nederste af teksten herind, startende med:
Scan statistics.

Hej igen - så skulle det være gjort efter dine forskrifter her kommer resultatet af den log du efterspurgte :

Scan statistics
-----------------------------------------------------------------------------
Objects scanned: 146572
Infected objects found: 0
Objects with modifications found: 0
Suspicious objects found: 0
Adware programs found: 0
Dialer programs found: 0
Joke programs found: 0
Riskware programs found: 0
Hacktool programs found: 1
Objects cured: 0
Objects deleted: 0
Objects renamed: 1
Objects moved: 0
Objects ignored: 0
Scan speed: 518 Kb/s
Scan time: 01:58:50
-----------------------------------------------------------------------------

=============================================================================
Total session statistics
=============================================================================
Objects scanned: 146654
Infected objects found: 0
Objects with modifications found: 0
Suspicious objects found: 0
Adware programs found: 0
Dialer programs found: 0
Joke programs found: 0
Riskware programs found: 0
Hacktool programs found: 1
Objects cured: 0
Objects deleted: 0
Objects renamed: 1
Objects moved: 0
Objects ignored: 0
Scan speed: 521 Kb/s
Scan time: 01:59:03

Jeg er løbet ind i et problem som efterfølger til alt det her virus pjat - alle mine arbejdsikoner og kommandorerknapper er forsvundet i Microsoft Words ?? Nogen forslag - de er ret svære at undvære !

Så er computeren ren..

Umiddelbart ved jeg ikke med de knapper i words, kan du geninstaller words, så kommer de helt sikkert tilbage

Hej igen - så rykker pointerne snart ind på din konto som tak for hjælpen !
HAr også fået ordnet det med Word...
Min Ewido finfer stadig noget - er det harmløst eller hvad ??

C:\Documents and Settings\Kim\Cookies\kim@fastclick[2].txt -> Spyware.Cookie.Fastclick : Renset med backup
    C:\Documents and Settings\Kim\Cookies\kim@ad.yieldmanager[1].txt -> Spyware.Cookie.Yieldmanager : Renset med backup
    C:\Documents and Settings\Kim\Cookies\kim@revenue[1].txt -> Spyware.Cookie.Revenue : Renset med backup

Adaware - bliver også ved at finde noget !!

??

Ja, det er almindelige cookies, men fint at de bliver slettet.

For at beskytte dig mod snavs har jeg lavet en sikkerhedspakke,
som du kan se her : www.arlet.dk/pakke.htm

så kan du holde nogle af de cookies ude..

Tak for hjælpen !

Velbekommen..

så skal du huske at lukke dit spørgsmål pænt igen ved at marker mit navn i boksen til venstre og tryk accepter..

Har du brug for mere hjælp, eller har du fået dit spørgsmål besvaret??, for så skal du huske at lukke dit spørgsmål pænt igen ved at marker mit navn i boksen til venstre og tryk accepter..