Hjælp win32.tips

Afinstaller alle dine anti-spyware programmer og installer Microsoft Windows Defender som du kan hente gratis på http://www.microsoft.com/athome/security/spyware/software/default.mspx

Din hijackthis v1.97.7 er forældet, hent version v1.99.1 istedet for.

for at slette
* C:\WINDOWS\system32\internetoloper.exe
* C:\WINDOWS\system32\phqghume.exe

skal du gøre følgende

tryk  ctrl+alt+delete og vælg task manager. så trykker du på prodcess fanebladet og finder den fil du ikke kunne slette. Denne markere du og trykker på afslut prodcess nederst til højre og svar ja til den dialog boks der kommer.  Herefter kan du finde filen via START > SØG >  FILER OG MAPPER, når filen er fundet markere du den og sletter den, hvis filen ikke findes går du blot videre. Ved tilfælde af at filen ikke kan lukkes ned i task manager skal der startes op i fejlsikret tilstand. Dette  gør du ved at genstarte din pc og lige før pc’en starter op med det sorte XP logo  skærmbillede trykkes der gentagende gange på F8 tasten for at få menuen frem.

Jamen prøver lige giv mig lidt tid er ikke så hardcore :o)

Lånt fra http://www.spywarefri.dk/forum/topic.asp?TOPIC_ID=25677

Der er lige lidt flere ting du bør gøre.

Hent den her scanner:
mwav exe

Kør en scanning med Hijackthis, så du kan se alle filer.

Du får herunder nogle filer, som du skal fixe. Det, du skal gøre, er at sætte et flueben ud for disse filer. Når du har gjort det, så lukker du alle andre vinduer ned. Det er meget vigtigt at det eneste vindue, som er åbent er HijackThis vinduet. Husk også at lukke dette vindue, når du har markeret filerne. Nu må du fixe. Klik på Fix checked:
O2 - BHO: (no name) - {77701e16-9bfe-4b63-a5b4-7bd156758a37} - (no file)

Hent den her scanner:
mwav exe http://www.spywareinfo.dk/download/mwav.exe  og
ewido http://www.ewido.net/en/

Kør en scanning med Hijackthis, så du kan se alle filer.

Du får herunder nogle filer, som du skal fixe. Det, du skal gøre, er at sætte et flueben ud for disse filer. Når du har gjort det, så lukker du alle andre vinduer ned. Det er meget vigtigt at det eneste vindue, som er åbent er HijackThis vinduet. Husk også at lukke dette vindue, når du har markeret filerne. Nu må du fixe. Klik på Fix checked:
O2 - BHO: (no name) - {77701e16-9bfe-4b63-a5b4-7bd156758a37} - (no file)

Genstart til fejlsikret tilstand. Du trykker F8 nogle gange når Windows starter op.

Nu kører du mwav skanneren som vi hentede før
Sæt flueben i følgende:
Memory, Startup folders, drive, Registry, System folders og Services.
Sæt prik i følgende:
All local drives og Scan all files

Klik på scan.
Tip: du skal ikke klikke på Add to Startup folders så scannes din maskine hver gang du starter Windows op.
Denne scanning kan godt tage et par timer alt efter hvor meget du har liggende på din computer.

Når scanningen er færdig, skal du lige kopiere resultatet nedenunder – virus log information
ind i et Wordpad dokument.Start-Kør, skriv: wordpad
Gem filen på skrivebordet

Kør også lige ewido igen, og lad den fjerne hvad den finder

Genstart til normal tilstand og send resultatet af mwav scanningen heind

Så har jeg hentet de 2 programmer og skal se omjeg kan finde ud af dem hahah

Puha så om jeg endlig igennem alt det nu prøver jeg lige at virus scane os se om den er væk.

ØVØVØVØVØØV.

Scanningsrapport
7. maj 2006 11:48:57 - 12:13:55

Computernavn: MARIO
Scanningstype: Udfør fuldt computercheck
Destination: C:\ F:\ + systemregistreringsdatabase
Resultat: 1 malware blev fundet
Packed.Win32.Tibs (virus)

    * C:\System Volume Information\_restore{A3C1A31C-12EE-4264-B3AC-A3D206BEBE18}\RP647\A0099302.exe

ov måske i kan bruge den her :o)

Logfile of HijackThis v1.99.1
Scan saved at 12:40:39, on 07-05-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
C:\Programmer\ewido anti-malware\ewidoctrl.exe
C:\Programmer\ewido anti-malware\ewidoguard.exe
C:\Programmer\F-Secure\Anti-Virus\fsgk32st.exe
C:\Programmer\F-Secure\BackWeb\7681197\program\fsbwsys.exe
C:\Programmer\F-Secure\Anti-Virus\FSGK32.EXE
C:\Programmer\F-Secure\Common\FSMA32.EXE
C:\Programmer\F-Secure\Anti-Virus\fssm32.exe
C:\Programmer\F-Secure\Common\FSMB32.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\F-Secure\Common\FCH32.EXE
C:\Programmer\F-Secure\Anti-Virus\fsqh.exe
C:\Programmer\F-Secure\Common\FAMEH32.EXE
C:\Programmer\F-Secure\Anti-Virus\fsrw.exe
C:\Programmer\Java\jre1.5.0_03\bin\jusched.exe
C:\Programmer\QuickTime\qttask.exe
C:\Programmer\F-Secure\Anti-Virus\fsav32.exe
C:\Programmer\F-Secure\Common\FSM32.EXE
C:\Programmer\iTunes\iTunesHelper.exe
C:\Programmer\F-Secure\Common\FNRB32.EXE
C:\programmer\steam\steam.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\F-Secure\FWES\Program\fsdfwd.exe
C:\Programmer\F-Secure\Common\FIH32.EXE
C:\Programmer\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programmer\iPod\bin\iPodService.exe
C:\Programmer\F-Secure\BackWeb\7681197\program\F-Secure Automatic Update.exe
C:\PROGRA~1\F-Secure\ANTI-S~1\fsaw.exe
C:\Programmer\F-Secure\FSGUI\fsguidll.exe
C:\Programmer\PerSono\PersTray.exe
C:\Programmer\SEC\Natural Color\NaturalColorLoad.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmer\Mozilla Firefox\firefox.exe
C:\DOCUME~1\Mario1\LOKALE~1\Temp\Midlertidig mappe 4 for hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/ie/defaults/sb/ymsgr6/*http://www.yahoo.com/ext/search/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/ie/defaults/sb/ymsgr6/*http://www.yahoo.com/ext/search/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ie/defaults/su/ymsgr6/*http://www.yahoo.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local.,
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programmer\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programmer\F-Secure\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmer\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] "c:\programmer\steam\steam.exe" -silent
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmer\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Global Startup: F-Secure Automatic Update.lnk = C:\Programmer\F-Secure\BackWeb\7681197\program\F-Secure Automatic Update.exe
O4 - Global Startup: Perstray.lnk = C:\Programmer\PerSono\PersTray.exe
O4 - Global Startup: NaturalColorLoad.lnk = ?
O4 - Global Startup: Adobe Reader Hurtigstart.lnk = C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Block this popup - C:\Programmer\F-Secure\Anti-Spyware\blockpopups.htm
O8 - Extra context menu item: Download all by Net Transport - C:\Programmer\Xi\NetTransport 2\NTAddList.html
O8 - Extra context menu item: Download by Net Transport - C:\Programmer\Xi\NetTransport 2\NTAddLink.html
O9 - Extra button: IE Shield - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programmer\F-Secure\Anti-Spyware\ieshield.dll
O9 - Extra 'Tools' menuitem: IE Shield... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programmer\F-Secure\Anti-Spyware\ieshield.dll
O9 - Extra button: Betway.com Poker - {4CBB5C71-1BA0-49ca-93CD-159AF8AA0CC9} - C:\Programmer\BetwayMPP\MPPoker.exe
O9 - Extra button: EmpirePoker - {77E68763-4284-41d6-B7E7-B6E1F053A9E7} - C:\Programmer\EmpirePoker\EmpirePoker.exe (file missing)
O9 - Extra 'Tools' menuitem: EmpirePoker - {77E68763-4284-41d6-B7E7-B6E1F053A9E7} - C:\Programmer\EmpirePoker\EmpirePoker.exe (file missing)
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programmer\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programmer\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programmer\f-secure\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\programmer\f-secure\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\programmer\f-secure\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\programmer\f-secure\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\programmer\f-secure\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\programmer\f-secure\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\programmer\f-secure\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\programmer\f-secure\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\programmer\f-secure\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\programmer\f-secure\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\programmer\f-secure\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\programmer\f-secure\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\programmer\f-secure\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\programmer\f-secure\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\programmer\f-secure\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\programmer\f-secure\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\programmer\f-secure\fsps\program\fslsp.dll
O16 - DPF: {0A7F4407-A1C8-496A-9670-F13370CAAACC} (SysReg_DK Control) - http://81.19.245.211/system/SysREG_DK.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {3D2CB570-D425-11D5-ABD0-00008369C46F} (CSMenu Class) - https://netbank.danskebank.dk/html/activex/DB/Menu.cab
O16 - DPF: {3D6DDD23-870A-4FC8-B3AF-5F67C935A9B7} (Util Class) - https://udstedelse.certifikat.tdc.dk/csp/authenticode/PrimeInkCSP-1204.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by20fd.bay20.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1095284193718
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://www.axis.com/products/camera_servers/AxisCamControl.ocx
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D3426292-3750-4D80-9D0F-2816F61A6D15} (SpeedTest Control) - http://81.19.245.211/speedtest/SpeedTest_2.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O16 - DPF: {F6A56D95-A3A3-11D2-AC26-400000058481} (Danske e-Sec) - https://business.danskebank.dk/html/activex/danskesikker/DB/DanskeSikker.cab
O20 - Winlogon Notify: SASWinLogon - C:\Programmer\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing)
O23 - Service: F-Secure Automatic Update (BackWeb Plug-in - 7681197) - F-Secure Automatic Update - C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
O23 - Service: Bonjour-tjeneste (Bonjour Service) - Apple Computer, Inc. - C:\Programmer\Bonjour\mDNSResponder.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmer\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmer\ewido anti-malware\ewidoguard.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corp. - C:\Programmer\F-Secure\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Programmer\F-Secure\Common\FNRB32.EXE
O23 - Service: fsbwsys - F-Secure Corp. - C:\Programmer\F-Secure\BackWeb\7681197\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programmer\F-Secure\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programmer\F-Secure\Common\FSMA32.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmer\Fælles filer\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmer\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Der er ikke så meget igen

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local.,


Hvis du bruger nedstående poker sites lader du dem være ellers skal disse slettes. Start med at kigge i tilføj / fjern programmet og se om disse kan afinstalleres.

O9 - Extra button: Betway.com Poker - {4CBB5C71-1BA0-49ca-93CD-159AF8AA0CC9} - C:\Programmer\BetwayMPP\MPPoker.exe
O9 - Extra button: EmpirePoker - {77E68763-4284-41d6-B7E7-B6E1F053A9E7} - C:\Programmer\EmpirePoker\EmpirePoker.exe (file missing)
O9 - Extra 'Tools' menuitem: EmpirePoker - {77E68763-4284-41d6-B7E7-B6E1F053A9E7} - C:\Programmer\EmpirePoker\EmpirePoker.exe (file missing)
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programmer\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programmer\PartyGaming\PartyPoker\RunApp.exe


Disse mapper skal også slettes hvis poker siderne ikke bruges.
C:\Programmer\BetwayMPP
C:\Programmer\EmpirePoker
C:\Programmer\PartyGaming\PartyPoker
C:\Programmer\PartyGaming

Skal jeg bare slette den R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local så skulle den være død ?? jamen skal nok slette de poker site ikke dem jeg bruger så meget tid på de dårligste er på betandwin  :))

ja du skal blot markere den i hijackthis og trykke på fix it

levithan, vil du dermed sige at den linie er virussen/problemet ?

forevernewbie
nej virus problemet lå tidligere - 07/05-2006 09:05:18 som blev slettet af mwav og ewido = O2 - BHO: (no name) - {77701e16-9bfe-4b63-a5b4-7bd156758a37} - (no file)

blandt andet

Aha, lad os se, men kan du så fortælle mig, hvorfor du mener at den linie skal fixes ?

forevernewbie
hvilken linje tænker du på

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local

http://www.spywarefri.dk/forum/topic.asp?TOPIC_ID=25953

Fordi da jeg have mest tid var der ingen der svarede og jeg var meget i panik så prøvede at få hjælp mange steder der stod jo den kunne tag mit password til netbank og alt så ja jeg var helt oppe at ringe men nu er jeg meget lykkelig og jeg er meget tak nemlig for dem som har brugt tid på at hjælpe mig 10000 tak.

forevernewbie
på nettet beskrives den som noget proxy annonymitet og det er efter min mening ikke ret mange (læs den alm surfer) der bruger den slags software.

og hvis den er en del af et program/http plugin kan den altid installeres igen.

For at være helt præcis, så tillader den helt legale Windowsindstilling, at tilgå localhost, uden at skulle gå igennem en aktiveret proxyserver. Den bliver i nogle tilfælde lagt ind af udbydere, men også programmer som lægger en lille proxy, f,eks mailscanneren i et antivirus, bruger den. Den kan ikke bruges til noget af malware, og bør derfor ikke fixes.

ok

;-)

Der kommer sku ikke nogel frem så jeg kan give poing :((((

.