Avatar billede xy Nybegynder
19. januar 2006 - 20:56 Der er 42 kommentarer og
1 løsning

Spyware der ikke kan fjernes

SpySweeper bliver ved med at finde den spyware. Den bilver ved med at komme eller også bliver den ikke fjernet.

Har kørt Ewido i fejsikret tilstand, men den fandt intet

Kan nogen hjælpe med at sørge for, at den ikke kommer på min computer eller bliver fjernet, når SpySweeper har slettet den

Den var heller ikke at finde i regedit med søgeordet Second Sight
Avatar billede levich Nybegynder
19. januar 2006 - 21:11 #1
Hent http://www.spychecker.com/program/hijackthis.html.
Kør HijackThis, klik på scan, kopier loggens tekst og smidt den herind.
Avatar billede xy Nybegynder
19. januar 2006 - 21:15 #2
Jeg var forberedt på det spørgsmål. Så den var lavet inden du skrev

Logfile of HijackThis v1.99.1
Scan saved at 21:07:54, on 19-01-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\AVPersonalPremium\AVWUPSRV.EXE
C:\Programmer\ewido\security suite\ewidoctrl.exe
C:\PROGRA~1\BitGuard\Firewall\FireSvc.Exe
C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
C:\Programmer\Fælles filer\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programmer\Webroot\Spy Sweeper\WRSSSDK.exe
C:\Programmer\Java\jre1.5.0_06\bin\jusched.exe
C:\Programmer\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programmer\AVPersonalPremium\AVSched32.EXE
C:\Programmer\AVPersonalPremium\AVGNT.EXE
C:\Programmer\UnH Solutions\IE Privacy Keeper\IEPrivacyKeeper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\BitGuard\Firewall\Firewall.Exe
C:\Programmer\UPHClean\uphclean.exe
C:\WINDOWS\System32\alg.exe
C:\Programmer\MSN Messenger\msnmsgr.exe
C:\PROGRAMMER\AVPERSONALPREMIUM\AVGUARD.EXE
C:\PROGRAMMER\AVPERSONALPREMIUM\AVESVC.EXE
C:\PROGRAMMER\AVPERSONALPREMIUM\AVMAILC.EXE
C:\Documents and Settings\Marianne\Skrivebord\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmer\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [SpySweeper] "C:\Programmer\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKLM\..\Run: [AVSCHED32] C:\Programmer\AVPersonalPremium\AVSched32.EXE /min
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programmer\AVPersonalPremium\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SBAutoUpdate] "C:\Programmer\SpywareBlaster\sbautoupdate.exe"
O4 - HKLM\..\Run: [THGuard] "C:\Programmer\TrojanHunter 4.2\THGuard.exe"
O4 - HKCU\..\Run: [IE Privacy Keeper] "C:\Programmer\UnH Solutions\IE Privacy Keeper\IEPrivacyKeeper.exe" -startup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpamBully 3 for Outlook Express] "C:\Programmer\Axaware\Spam Bully 3 for OE\sb3oe.exe" install
O4 - Global Startup: BitGuard Personal Firewall.lnk = C:\Programmer\BitGuard\Firewall\Firewall.Exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://D:\PROGRA~1\OFFICE11\EXCEL.EXE/3000
O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} - http://downloadcenter.samsung.com/content/common/cab/DjVuControlLite_EN.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} -
O16 - DPF: {3D2CB570-D425-11D5-ABD0-00008369C46F} (CSMenu Class) - https://netbank.danskebank.dk/html/activex/DB/Menu.cab
O16 - DPF: {3D6DDD23-870A-4FC8-B3AF-5F67C935A9B7} (Util Class) - https://udstedelse.certifikat.tdc.dk/csp/authenticode/PrimeInkCSP-1204.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123770539281
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1125337091546
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {7AEBACC1-D7E4-4360-B520-6DA4C565B42C} (UploaderCtrl Class) - http://foto.tdconline.dk/upload-classes/Uploader.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www5.incredimail.com/contents/setup/downloader/imloader.cab
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: AntiVir Mail Security Service (AntiVirMailService) - AntiVir PersonalProducts GmbH. - C:\PROGRAMMER\AVPERSONALPREMIUM\AVMAILC.EXE
O23 - Service: AntiVir Service (AntiVirService) - AntiVir PersonalProducts GmbH - C:\PROGRAMMER\AVPERSONALPREMIUM\AVGUARD.EXE
O23 - Service: AVE Service (AVEService) - AntiVir PersonalProducts GmbH - C:\PROGRAMMER\AVPERSONALPREMIUM\AVESVC.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programmer\AVPersonalPremium\AVWUPSRV.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Programmer\ewido\security suite\ewidoctrl.exe
O23 - Service: FirewallService - DanwareSecurity A/S - C:\PROGRA~1\BitGuard\Firewall\FireSvc.Exe
O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programmer\Webroot\Spy Sweeper\WRSSSDK.exe
Avatar billede levich Nybegynder
19. januar 2006 - 21:17 #3
jeg ser på loggen, øjeblik
Avatar billede levich Nybegynder
19. januar 2006 - 21:28 #4
Hent Lspfix http://www.cexx.org/LSPFix.exe.
Hvis du senere ikke kan komme på internettet, skal du køre lspfix, marker "I know what I am doing" og klik på finish.

Nu selve løsningen:
Genstart computeren i fejlsikret tilstand (tryk F8 når Windows starter op), og fix følgende linjer med HijackThis:
O10 - Broken Internet access because of LSP provider 'avsda.dll' missing

Kør LSPfix, marker avsda.dll i venstre vindue, klik på pilen i midten, så avsda.dll også står i højre vindue, sæt flueben i I know what I am doing, klik på finish, genstart så burde det virke.
Avatar billede xy Nybegynder
19. januar 2006 - 21:34 #5
avsda.dll st¨r i højre side nu Gør det nogen forskel
Avatar billede xy Nybegynder
19. januar 2006 - 21:37 #6
før genstarten
Avatar billede arlet Juniormester
19. januar 2006 - 21:39 #7
Hvorfor skal den 010 linje slettes???

Den hører da til antivir antivirusprogrammet!!!!
Avatar billede xy Nybegynder
19. januar 2006 - 21:58 #8
hvis der mangler en dllfil i virusprogrammet vil det ikke tage lang at installere programmettet igen
Avatar billede xy Nybegynder
19. januar 2006 - 22:16 #9
Log efter installering af virusprogram 010 limien liogger der bare stadig


Logfile of HijackThis v1.99.1
Scan saved at 22:13:03, on 19-01-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Java\jre1.5.0_06\bin\jusched.exe
C:\Programmer\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programmer\UnH Solutions\IE Privacy Keeper\IEPrivacyKeeper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRAMMER\AVPERSONALPREMIUM\AVGUARD.EXE
C:\PROGRAMMER\AVPERSONALPREMIUM\AVESVC.EXE
C:\Programmer\AVPersonalPremium\AVWUPSRV.EXE
C:\Programmer\ewido\security suite\ewidoctrl.exe
C:\Programmer\BitGuard\Firewall\Firewall.Exe
C:\PROGRA~1\BitGuard\Firewall\FireSvc.Exe
C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
C:\Programmer\Fælles filer\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programmer\Webroot\Spy Sweeper\WRSSSDK.exe
C:\Programmer\UPHClean\uphclean.exe
C:\PROGRAMMER\AVPERSONALPREMIUM\AVMAILC.EXE
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Programmer\AVPersonalPremium\AVGNT.EXE
C:\Programmer\AVPersonalPremium\AVSCHED32.EXE
C:\Documents and Settings\Marianne\Skrivebord\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmer\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [SpySweeper] "C:\Programmer\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKLM\..\Run: [AVSCHED32] C:\Programmer\AVPersonalPremium\AVSched32.EXE /min
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programmer\AVPersonalPremium\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SBAutoUpdate] "C:\Programmer\SpywareBlaster\sbautoupdate.exe"
O4 - HKLM\..\Run: [THGuard] "C:\Programmer\TrojanHunter 4.2\THGuard.exe"
O4 - HKCU\..\Run: [IE Privacy Keeper] "C:\Programmer\UnH Solutions\IE Privacy Keeper\IEPrivacyKeeper.exe" -startup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpamBully 3 for Outlook Express] "C:\Programmer\Axaware\Spam Bully 3 for OE\sb3oe.exe" install
O4 - Global Startup: BitGuard Personal Firewall.lnk = C:\Programmer\BitGuard\Firewall\Firewall.Exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://D:\PROGRA~1\OFFICE11\EXCEL.EXE/3000
O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} - http://downloadcenter.samsung.com/content/common/cab/DjVuControlLite_EN.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} -
O16 - DPF: {3D2CB570-D425-11D5-ABD0-00008369C46F} (CSMenu Class) - https://netbank.danskebank.dk/html/activex/DB/Menu.cab
O16 - DPF: {3D6DDD23-870A-4FC8-B3AF-5F67C935A9B7} (Util Class) - https://udstedelse.certifikat.tdc.dk/csp/authenticode/PrimeInkCSP-1204.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123770539281
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1125337091546
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {7AEBACC1-D7E4-4360-B520-6DA4C565B42C} (UploaderCtrl Class) - http://foto.tdconline.dk/upload-classes/Uploader.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www5.incredimail.com/contents/setup/downloader/imloader.cab
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: AntiVir Mail Security Service (AntiVirMailService) - AntiVir PersonalProducts GmbH. - C:\PROGRAMMER\AVPERSONALPREMIUM\AVMAILC.EXE
O23 - Service: AntiVir Service (AntiVirService) - AntiVir PersonalProducts GmbH - C:\PROGRAMMER\AVPERSONALPREMIUM\AVGUARD.EXE
O23 - Service: AVE Service (AVEService) - AntiVir PersonalProducts GmbH - C:\PROGRAMMER\AVPERSONALPREMIUM\AVESVC.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programmer\AVPersonalPremium\AVWUPSRV.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Programmer\ewido\security suite\ewidoctrl.exe
O23 - Service: FirewallService - DanwareSecurity A/S - C:\PROGRA~1\BitGuard\Firewall\FireSvc.Exe
O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programmer\Webroot\Spy Sweeper\WRSSSDK.exe
Avatar billede arlet Juniormester
19. januar 2006 - 22:39 #10
Ja, for den 010 linje skal være der, ellers kører antivir ikke ordentligt...
Avatar billede ejvindh Ekspert
19. januar 2006 - 22:41 #11
Så vidt jeg lige kan se har Levich ret i at O10-linien skal fixes, for den markerer jo at internet forbindelsen er brudt pga at den nævnte fil *mangler*. Men proceduren var forkert. Der er ikke noget der skal flyttes til højre. Du skal bare køre Lspfix, sætte flueben, og så klikke på finish.

Hvis det ikke hjælper, kan du prøve at markere filen i højre side, og se om du kan flytte den til venstre, inden du trykker Finish.

Endelig hvis det heller ikke hjælper, så prøv at afinstallere Antivir, kør Lspfix, hvor du ikke flytter noget, men bare sætter flueben, og klikker Finish. Herefter kan du geninstallere Antivir, og se om det virker -- og evt. lægge en ny HJT-log til check.
Avatar billede xy Nybegynder
19. januar 2006 - 22:51 #13
Jeg kan flytte den til venstre og trykke finish med Lspfix, men næste gang jeg kører Lpsfix ligger den der igen. Det er ikke gjort i fejlsikret tilstand. Vil det være en god ide at afinstaller antivir og rydde op med regsuorem og ccleaner genstarte og derefter installere antir prem igen ?
Avatar billede xy Nybegynder
19. januar 2006 - 23:02 #14
Antivir bliver tit slået fra melder sikkerhedscentret, men den bliver normalt ordtnet med en opdatering
Avatar billede xy Nybegynder
19. januar 2006 - 23:08 #15
jeg bliver nødt til at komme til at sove. Håber vi kan fortsætte i morgen
Avatar billede forevernewbie Nybegynder
20. januar 2006 - 00:22 #16
Ifølge denne tråd, på tysk, siger Merjin også at det er en bug i HijackThis. Lad den endelig være http://www.hijackthis-forum.de/archive/index.php/t-2774.html
Avatar billede ejvindh Ekspert
20. januar 2006 - 08:19 #17
Alt i orden. Jeg kender naturligvis godt problemet med "Missing Files" i HJT, men har aldrig hørt før, at den også skulle kunne gælde O10'ernes melding om "broken internet Access". Jeg trækker mit tidligere indlæg tilbage :-)

Men så er HJT-loggen ren. Kan du angive mere præcist hvad det er SpySweeper finder? (evt. få lavet en log af programmet, eller skrive det ned, når den finder det).
Avatar billede xy Nybegynder
20. januar 2006 - 08:31 #18
Dette er hvad SpySweeper finder på nettet         
 

 
 

SYSTEM MONITOR Description:

Name:
Second Sight

Author:


Category:
System Monitor

Threat Assessment:
Critical




Description:

Second Sight records all of your computer activity and stores the collected information into an encrypted log file for later retrieval.

Characteristics:

Second Sight may monitor and capture your computer activity, including recording all keystrokes, e-mails, chat room dialogue, instant message dialogue, Web sites visited, usernames, passwords, and programs run. This program may be capable of taking screen shots of your desktop at scheduled intervals, storing the information on your computer in an encrypted log file for later retrieval. These log files may be e-mailed to a pre-defined e-mail address. This program can run in the background, hiding its presence.

Method of Infection:

Second Sight is typically installed by someone with administrative access to your computer, such as a system administrator or someone who shares your computer.

 
© 1997 - 2006 Webroot Software, Inc. All rights reserved
products  :  purchase  :  downloads  :  support  :  company  :  sitemap  :  contact us
Avatar billede xy Nybegynder
20. januar 2006 - 08:37 #19
Avatar billede ejvindh Ekspert
20. januar 2006 - 09:02 #20
http://www3.ca.com/securityadvisor/pest/pest.aspx?id=61713

Ja, det er vist en slem én. Prøv dette: Kopier indholdet mellem de stiplede linier ind i et notepad vindue, og gem det på skrivebordet som SSfix.bat

----------------------------------
taskkill /im sshostap.exe /f
taskkill /im ssviewer.exe /f
regsvr32 /u ktkbdhk3.dll

del /f /s /q sshostap.exe
del /f /s /q ssviewer.exe
del /f /s /q ktkbdhk3.dll
del /f /s /q deisl1.isu
del /f /s /q installationreadme.txt
del /f /s /q kbdmonitor.ocx
del /f /s /q ksdpanel.ocx
del /f /s /q new.reg
del /f /s /q ssight.reg
echo REGEDIT4 >regfix.reg
echo >>regfix.reg
echo [-hklm\software\classes\clsid\{572110fb-7fc4-11d5-b57f-0050bae7fec4] >>regfix.reg
echo [-hklm\software\classes\dataguardencrytion.dataguard] >>regfix.reg
echo [-hklm\software\classes\typelib\{572110fb-7fc4-11d5-b57f-0050bae7fec4] >>regfix.reg
c:\windows\regedit.exe regfix.reg /s
del regfix.reg

pause
---------------------------------

Genstart til fejlsikret tilstand (tryk F8 under opstarten). Dobbeltklik på den nye fil. Så vil filen slette de relevante filer. Du skal herefter trykke en taste.

Genstart herefter computeren, og se om det har hjulpet.
Avatar billede xy Nybegynder
20. januar 2006 - 10:28 #21
Her forstår jeg ikke, hvad jeg skal gøre:
Prøv dette: Kopier indholdet mellem de stiplede linier ind i et notepad vindue, og gem det på skrivebordet som SSfix.bat
Avatar billede ejvindh Ekspert
20. januar 2006 - 12:06 #22
Du skal åbne Notepad (Finder du inde i start-menuen). Herefter markerer du teksten mellem de stiplede linier i ovenstående post, højreklikker på det markerede, og vælger kopier). Gå herefter tilbage til notepad-vinduet, og tast ctrl-v. Så ligger den relevante tekst inde i notepad-vinduet, og du kan gemme det på skrivebordet.
Avatar billede xy Nybegynder
20. januar 2006 - 14:42 #23
Problemet ligger i at jeg kun har Notesbook, wordpad, og jeg har ikke noget SSfix.bat, når jeg vil gemme dokumentet. Heller ikke i Paint. Filnavn er txt, alle filer og ikke andre, og det ved jeg jo ikke ,om den må gemmes som.

Også lidt diverse kodninger
Avatar billede ejvindh Ekspert
20. januar 2006 - 14:58 #24
OK, notesblok er det danske navn for notepad :-), så det er den du skal bruge. Når du putter den nævnte tekst ind i et notesblok vindue, kan du gemme indholdet heraf på skrivebordet. Hvis du sørger for at den fil du gemmer, slutter med ".bat" -- altså fx SSfix.bat -- vil det bagefter kunne køres som et program. Meningen er altså, at du selv skal lave det program (SSfix.bat), som du skal køre i fejlsikret tilstand. Og programmets indhold er det, der ligger mellem de stiplede linier (det indeholder nogle kommandoer som Styrestystemet vil genkende og reagere på).

------------------------------------

Men nu har jeg gjort lidt af arbejdet for dig. Prøv at hente dette program i stedet, og gem det på skrivebordet:
http://www.ejvindh.frac.dk/SSfix.bat

Genstart herefter til fejlsikret tilstand (tryk F8 under opstarten). Dobbeltklik på den nye fil. Så vil filen slette de relevante filer. Du skal herefter trykke en taste.

Genstart herefter computeren, og se om det har hjulpet.
Avatar billede forevernewbie Nybegynder
20. januar 2006 - 15:16 #25
Det Spysweeper finder, er tilsyneladende rester af en kommerciel keylogger http://www.iquesoft-online.com/ Har du kendskab til, at personer med administratorrettigheder kan have lagt den ind på maskinen ?

Iøvrigt undrer det mig, at Spysweeper kun finder keyloggeren i registreringsdatabasen. Det er ikke helt utænkeligt, at Spysweeper "overreagerer". Det er sket før.
Avatar billede ejvindh Ekspert
20. januar 2006 - 15:27 #26
Den version af SSfix.bat, som jeg har uploadet er iøvrigt bedre end den jeg havde angivet i posten ovenfor. Jeg opdagede et par fejl [*UPS*] :-)

Om det er en overreaktion fra SpySweeper eller ej, synes jeg endnu er for tidligt at kunne udtale sig om. Hvis der ikke er noget skidt, burde SpySweeper i hvert fald kunne fjerne de pågældende registreringer *S*
Avatar billede forevernewbie Nybegynder
20. januar 2006 - 15:44 #27
Jeg lagde godt mærke til smutterne ejvind *S*. Btw, jeg har et program i "baghånden", til at tjekke om der vitterlig er en keylogger *S*.
Avatar billede xy Nybegynder
20. januar 2006 - 17:07 #28
http://www.ejvindh.frac.dk/SSfix.bat

Hvis jeg  starter i fejlsikret tilstand kan den ikke se den fil jeg har gemt på skrivebordet her.

Jeg har dobbeltklikket på i normal tilstan men her meldte den noget om en fejl og om at et modul ikke var fundet. Den kunne dog gennemføre, det ved at trykke på en taste
Avatar billede ejvindh Ekspert
20. januar 2006 - 19:25 #29
Det undrer mig nu, at du ikke kan finde filen i fejlsikret tilstand. Der skulle ikke være nogen forskel i, hvad der ligger på skrivebordet i normal vs. fejlsikret tilstand.

Den fejlmelding får du fordi ktkbdhk3.dll ikke er registreret på din computer. Det er gode tegn (på at infektionen nok ikke er aktiv). Prøv at lave et scan med Spysweeper, og se om den stadig finder infektionen. Hvis den gør, så prøv lige igen at gå til fejlsikret tilstand, og se om den ikke alligevel skulle ligge der, så du kan prøve at køre den. Og herefter igen prøve med Spysweeper for at se om infektionen findes.

Hvis den gør, skulle vi måske få forevernewbie på banen "baghåndsprogrammet" *S*
Avatar billede xy Nybegynder
20. januar 2006 - 21:28 #30
Jeg syntes, at det var mest logisk at logge på som administrator, hvad jeg prøvede 2 gange- Men det var åbenbart en fejl. Da je kun loggede på mit brugernavn var filen også at se

Ved dobbeltklik på filen sker dette :

Load Libery (ktkbdhk3.dll) mislykkedes. Det angivne modul blev ikke fundet
Desuden
/s kan ikke importeres. der opstor en fejl under åbning af filen.
Det er muligvis en fejl på disken eller i filen

Det var da jeg prøvede at føje dem til registreringsbasen
Avatar billede levich Nybegynder
20. januar 2006 - 22:21 #31
Jeg trækker mig ud af tråden - held og lykke.
Avatar billede forevernewbie Nybegynder
20. januar 2006 - 22:33 #32
Jeg syntes at det Spysweeper finder, ligner noget som kunne stamme fra dette program. Er det noget du kender ? http://www.freedownloadscenter.com/Utilities/File_Encryption_Utilities/DataGuard.html
Avatar billede xy Nybegynder
20. januar 2006 - 22:40 #33
Nej Det har jeg aldrig set før

Spy Sweeper finder ingenting nu. Det er set før, men second sight er så hurtigt kommet tilbage

Så jeg lader lige tråden stå åbent lidt endnu
Avatar billede xy Nybegynder
20. januar 2006 - 22:44 #34
Hvorfor kan jeg i øvrigt ikke se alt på skrivebordet nå jeg logger på som administrator. Det ville jeg gerne vide
Avatar billede forevernewbie Nybegynder
20. januar 2006 - 22:51 #35
Hvis Second Sight er på din maskine, så vil dette program finde det. Hent Spycop her http://www.pcworld.com/downloads/countit.asp?fid=21620&fileidx=1

Når du har installeret demoen, og åbnet programmet og har velkomstskærmen, sætter du prik allerøverst, ved "I would like to test for systemcombatibility". Klik OK, og Ok igen. Klik "scan", og klik dig igennem wizarden, til du kommer til "update". Så opdaterer du, og klikker videre til den begynder at scanne. Det kan måske se ud som om, at programmet "fryser" en gang imellem, men lad det bare køre færdigt. Hvis det ikke finder noget, så er jeg ret sikker på, at der ikke er nogen "Second Sight".
Avatar billede xy Nybegynder
20. januar 2006 - 23:24 #36
Hverken SpyCop eller Spy Sweeper finder noget nu. Desuden har jeg Spycop i baghånden
hvis Secon Sighy mod forventning skulle dukke op igen.
Jeg er blevet meget hysterisk med spyware, især fordi min maskine er så godt beskyttet. Så jeg vil gerne sige tak for hjælpen til alle, og sige, at jeg håber at de der ønsker point vil lægge et svar ud, så jeg kan afslutte tråden
Avatar billede forevernewbie Nybegynder
21. januar 2006 - 04:12 #37
Jeg syntes ihvertfald Ejvindh skulle lægge et svar. Det har været et pænt stort stykke arbejde, at lave det fix. Jeg springer over.
Avatar billede xy Nybegynder
21. januar 2006 - 10:04 #38
Jeg forstod ikke ret meget at det hele, men ville også gerne have et svar fra ejvindh
Du kan måske fortælle mig hvorfor at jeg ikke kunne se så meget som administrator, som når jeg klikkede på det alm. brugernavn. Det var evt. også din fil der gjorde at computeren er ren nu.
Avatar billede ejvindh Ekspert
21. januar 2006 - 20:08 #39
Ok, så lægger jeg da et svar -- jeg har lige været væk fra computeren lidt. :-)

Det var dejligt at det hjalp noget. Så vidt jeg kan forstå udaf de fejlmeldinger du fik (især denneher: "/s kan ikke importeres. der opstor en fejl under åbning af filen") så tyder det på, at du har brugt den udgave af scriptet, som der var fejl i. Hvis du får problemet igen, kan du derfor lige prøve at downloade programmet igen (jeg lader det ligge lidt tid), og så køre det forfra, og se om det hjælper bedre.

Grunden til at du ikke kunne se programmet når du logger ind som administrator er, at indholdet af skrivebordet er individuelt for de forskellige brugere. Så det, der kan ses af den daglige bruger er ikke nødvendigvis tilgængeligt for for administrator-brugeren -- i hvert fald skal man så ind og finde det vha. stifinderen.
Avatar billede xy Nybegynder
22. januar 2006 - 22:13 #40
Jeg er ret sikker på at det har hjulpet. Har nu flere gange prøvet at scanne med både SpyCop og SpySweeper og har intet set til Second Sight

Endnu engang:  Tak for hjælpen. -)
Avatar billede forevernewbie Nybegynder
22. januar 2006 - 23:26 #41
Personligt tror jeg ikke, at den nogensinde har været der, men nu har du ihvertfald ro i sindet.
Avatar billede ejvindh Ekspert
23. januar 2006 - 08:30 #42
Det var så lidt. Jeg takker for point :-)

Jeg er også tilbøjelig til at mene, at det kun var en rest i registreringsdatabasen fra en tidligere infektion. Men det forhold at Spysweeper ikke kunne fjerne den gjorde at jeg alligevel synes det var vigtigt at prøve at få det væk på anden vis (for at være helt sikker *S*).

Her på falderebet kan du lige få et par links til sikker brug af pc/internet:
http://www.spywarefri.dk/manualer/sikkerhedspakke.htm
http://www.spywarefri.dk/forum/topic.asp?TOPIC_ID=14414
Avatar billede naesten_expert Nybegynder
04. februar 2006 - 16:44 #43
Hejsa, Jeg bliver lige nød til at komme med min kommentar. Jeg kan fortælle, at jeg har nøjagtig samme problem med Spysweaper og Second Sight. Jeg broadcastede ligeledes spm. her på eksperten. Jeg har selv rimelig styr på spyware, ligesom dygtige folk hjalp mig. Mit system er godt beskyttet af en hysterisk firewall i routeren og MAC adr. filtrering. Så har har Norton Internet Security 2006 installeret. Alt taget i betragtning, så blev konklusionen, at Spysweaper reagerer på en falsk positiv. Norton/symantec og Webroot/spysweaper havde ikke noget svar på mine spm. Og jeg har scannet med alle tænkelige spykiller programmer. Det er kun Spysweaper der finder resterne i regbase. Men det er en ond spyware, så det er vel med rette at man bliver lidt paranoid. Så hold fast i roen, jeg tror ikke du er inficeret. Men skidt at man bruger så meget tid på ingenting.

Blot til orientering.

Mvh

Naesten_expert.
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester