CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede f5 Nybegynder
20. maj 2006 - 20:04 Der er 20 kommentarer og
2 løsninger

Kan ikke fjere spyware

Jeg har fået noget spyware på min computer som jeg ikke kan komme af med.


I nederste højre side af menu baren i bunden af min skærm er der kommet et blinkende ikon som minder om en virusadvarsel fra Microsoft. Det er det ikke selv om den sige det. Trykker man på den kommer man her hen:
http://www.spyfalcon.com/?aff=259

Jeg kan ikke ænder min browsers start side fra:
http://www.safetyuptodate.com/

Og der popper løbenede popupvinder op med porno og antivirus reklamer.

Jeg har kørt AdAware og fjernet alt men  det er her stadig.

Er der please nogle som kan hjælpe?!

VH
Michael
Avatar billede levich Nybegynder
20. maj 2006 - 20:11 #1
Hent http://www.spychecker.com/program/hijackthis.html.
Kør HijackThis, klik på scan, kopier loggens tekst og smidt den herind, så skal jeg nok se på det.
Avatar billede f5 Nybegynder
20. maj 2006 - 20:13 #2
Cool. Gør det med det samme.
Avatar billede f5 Nybegynder
20. maj 2006 - 20:16 #3
Her er logfilen. jeg har ikke slettet noget endnu.

Logfile of HijackThis v1.99.1
Scan saved at 20:15:32, on 20-05-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\atmclk.exe
C:\WINDOWS\system32\bcmwltry.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Belkin\Belkin 802.11g Wireless Card Configuration Utility\utility.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Michael S. Kønig\Desktop\HijackThis.exe

O2 - BHO: Nothing - {f79fd28e-36ee-4989-aa61-9dd8e30a82fa} - C:\WINDOWS\system32\hpAB1B.tmp
O4 - HKLM\..\Run: [bcmwltry] bcmwltry.exe
O4 - HKLM\..\Run: [RemoveCpl] RemoveCpl.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Belkin 802.11g Wireless Card Utility.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
Avatar billede levich Nybegynder
20. maj 2006 - 20:24 #4
Læs alle punkterne inden du gør noget.

(1)
Deaktiver systemgendannelse, ved at Højreklikke på "Denne Computer" på skrivebordet -> egenskaber -> Systemgendannelse -> sæt flueben i "Deaktiver systemgendannelse" -> Klik OK.

(2)
Hent scannereren http://www.spywareinfo.dk/download/mwav.exe.

(3)
Genstart computeren i fejlsikret tilstand (tryk F8 når Windows starter op), og fix følgende linjer med HijackThis:
O2 - BHO: Nothing - {f79fd28e-36ee-4989-aa61-9dd8e30a82fa} - C:\WINDOWS\system32\hpAB1B.tmp

(4)
Åbn en tilfældig mappe, i menuen skal du klikke på Funktioner -> Mappeindstillinger -> Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler" og ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

søg efter og slet følgende fil(er):
C:\WINDOWS\system32\hpAB1B.tmp
C:\WINDOWS\system32\atmclk.exe

(5)
Start -> kør -> skriv "cleanmgr" -> Slet Temporary internet files, papirkurv og midlertidige filer. Gentag for alle dine drev.

(6)
Kør scanneren mwav.exe, og sæt flueben i følgende: Memory, Startup folders, drive, Registry, System folders og Services.
Sæt prik i følgende: All local drives og Scan all files. Tryk på Scan Clean.
Scanningen kan godt tage nogen tid.

(7)
Genstart computeren normalt. Lav en ny log med HijackThis, og send den herind.

(8)
Når vi er helt færdige, så husk at aktiver systemgendannelse igen.
Avatar billede arlet Juniormester
20. maj 2006 - 20:31 #5
Og her er det samme infektion som i http://www.eksperten.dk/spm/710727
Avatar billede f5 Nybegynder
20. maj 2006 - 21:52 #6
Så har jeg lavet det hele.
Problemet er der stadig desværre men her er logfilen:

Logfile of HijackThis v1.99.1
Scan saved at 21:51:59, on 20-05-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\bcmwltry.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Belkin\Belkin 802.11g Wireless Card Configuration Utility\utility.exe
C:\Documents and Settings\Michael S. Kønig\Desktop\HijackThis.exe
C:\Program Files\iPod\bin\iPodService.exe

O4 - HKLM\..\Run: [bcmwltry] bcmwltry.exe
O4 - HKLM\..\Run: [RemoveCpl] RemoveCpl.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Belkin 802.11g Wireless Card Utility.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
Avatar billede f5 Nybegynder
20. maj 2006 - 21:54 #7
Jeg fulgte alle  dine instuktioner.
Dog kunne jeg ikke finde filen C:\WINDOWS\system32\hpAB1B.tmp.
Avatar billede levich Nybegynder
20. maj 2006 - 22:52 #8
Kører det som det skal nu?
Avatar billede f5 Nybegynder
20. maj 2006 - 23:42 #9
Det fik jeg vist slet ikke skrevet...
Det eneste som er tilbage er denne lille "virus alert" som liggner nede i højre hjørne af min toolbar i bunden - altså ved siden af ikonet hvor jeg kan se hvor meget batteri jeg har.
Avatar billede levich Nybegynder
21. maj 2006 - 00:25 #10
Hvilken toolbar i bundet?
Avatar billede f5 Nybegynder
21. maj 2006 - 00:36 #11
Selve windows menubaren i bunden. Lige ved siden af systemuret og ikonet for mit batteri...
Avatar billede levich Nybegynder
21. maj 2006 - 10:17 #12
Det lyder underligt, da der ikke er noget at se i hijackthis-loggen. Har du set beskeden "virus alert" før? Kan det tænke sig, at det er en del af windows sikkerhedscenter.

Under alle omstændigheder vil jeg anbefale dig at installere en virusscanner og scanne din computer. Hvis du er interesseret i en gratis virusscanner, kan jeg anbefale http://free.grisoft.com/doc/2/lng/us/tpl/v5.
Avatar billede f5 Nybegynder
21. maj 2006 - 14:31 #13
Ja det har hele tiden været der. Det LIGNER en Microsoft meddelelse, men det er det ikke. Når man trykker på den, kommer man hen til
http://www.spyfalcon.com/?aff=259

Der er et screen dump her:
http://www.fla10.com/transfer/Michael/virusAlert.htm

Det er det lille røde ikon - og det er ikke Microsoft! Og man kan heller ikke højreklikke eller noget...
Avatar billede arlet Juniormester
21. maj 2006 - 14:37 #14
Vil gerne hjælpe lidt, da vi har et værktøj der tager den infektion..

Hent S!Ri's SmitfraudFix.zip og pak det ud til dit Skrivebord.
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Programmet pakker sig ud i en mappe, der hedder SmitfraudFix.

-- Hent Ewido herfra (14 dages version af plus-versionen)
http://www.spywarefri.dk/downloads1/ewido-setup.exe
Installer og opdater programmet, men vent med at scanne.

-- Genstart i fejlsikret, hvis du ikke ved hvordan så kig her:
http://www.ctrlaltdel.dk/forum/forum_posts.asp?TID=23&PN=1

-- Åbn mappen SmitfraudFix som du fik på Skrivebordet, og dobbeltklik på SmitfraudFix.cmd og tast 2 - svar ja til at rense (y=yes). Lad programmet gennemføre en rensning. Det vil også checke om systemfilen wininet.dll er inficeret. Hvis den er det, vil du blive bedt om tilladelse til at erstatte den med en anden. Her skal du vælge "Yes", ved at taste "y".

Programmet bliver muligvis nødt til at genstarte undervejs. Herefter vil der dukke en liste med resultaterne af rensningen op . Kopiér denne liste ind i tråden.

-- Kør en fuld scanning med Ewido, og tillad programmet at fixe de ting, som det finder. Programmet laver en lille log, som du skal kopiere herind.

-- Genstart og læg en frisk Hijackthislog herind, sammen med loggen fra Ewido og loggen fra SmitfraudFix (C:\rapport.txt).

NB: Filen "process.exe" som ligger i dette værktøj bliver af visse antivirus-programmer identificeret som "RiskTool". Det har dog ikke noget på sig!
Avatar billede f5 Nybegynder
21. maj 2006 - 16:38 #15
Sådan.
Det ser ikke ud til at min browser er hijacked længere, men jeg har stadig det lille ikon i min toolbar.

Her er mine rapporter:

SmitFraudFix fil: (Jeg kom til at køre den to gange så jeg har kun den sidste log rapport men den fjerne vist ikke noget første gang)

SmitFraudFix v2.45

Scan done at 15:41:14,93, 21-05-2006
Run from C:\Documents and Settings\Michael S. Konig\Desktop\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» End




Ewido fil:

---------------------------------------------------------
ewido security suite - Scan report
---------------------------------------------------------

+ Created on:            16:23:44, 21-05-2006
+ Report-Checksum:        31341618

+ Scan result:

    C:\Documents and Settings\Michael S. Kønig\Cookies\michael s. kønig@112.2o7[1].txt -> Spyware.Cookie.2o7 : Cleaned with backup
    C:\Documents and Settings\Michael S. Kønig\Cookies\michael s. kønig@ad.yieldmanager[1].txt -> Spyware.Cookie.Yieldmanager : Cleaned with backup
    C:\Documents and Settings\Michael S. Kønig\Cookies\michael s. kønig@adtech[2].txt -> Spyware.Cookie.Adtech : Cleaned with backup
    C:\Documents and Settings\Michael S. Kønig\Cookies\michael s. kønig@advertising[2].txt -> Spyware.Cookie.Advertising : Cleaned with backup
    C:\Documents and Settings\Michael S. Kønig\Cookies\michael s. kønig@burstnet[2].txt -> Spyware.Cookie.Burstnet : Cleaned with backup
    C:\Documents and Settings\Michael S. Kønig\Cookies\michael s. kønig@com[1].txt -> Spyware.Cookie.Com : Cleaned with backup
    C:\Documents and Settings\Michael S. Kønig\Cookies\michael s. kønig@counter7.sextracker[1].txt -> Spyware.Cookie.Sextracker : Cleaned with backup
    C:\Documents and Settings\Michael S. Kønig\Cookies\michael s. kønig@cs.sexcounter[2].txt -> Spyware.Cookie.Sexcounter : Cleaned with backup
    C:\Documents and Settings\Michael S. Kønig\Cookies\michael s. kønig@cz11.clickzs[1].txt -> Spyware.Cookie.Clickzs : Cleaned with backup
    C:\Documents and Settings\Michael S. Kønig\Cookies\michael s. kønig@doubleclick[2].txt -> Spyware.Cookie.Doubleclick : Cleaned with backup
    C:\Documents and Settings\Michael S. Kønig\Cookies\michael s. kønig@image.masterstats[1].txt -> Spyware.Cookie.Masterstats : Cleaned with backup
    C:\Documents and Settings\Michael S. Kønig\Cookies\michael s. kønig@mediaplex[2].txt -> Spyware.Cookie.Mediaplex : Cleaned with backup
    C:\Documents and Settings\Michael S. Kønig\Cookies\michael s. kønig@msnportal.112.2o7[1].txt -> Spyware.Cookie.2o7 : Cleaned with backup
    C:\Documents and Settings\Michael S. Kønig\Cookies\michael s. kønig@server.iad.liveperson[1].txt -> Spyware.Cookie.Liveperson : Cleaned with backup
    C:\Documents and Settings\Michael S. Kønig\Cookies\michael s. kønig@sexlist[1].txt -> Spyware.Cookie.Sexlist : Cleaned with backup
    C:\Documents and Settings\Michael S. Kønig\Cookies\michael s. kønig@sextracker[1].txt -> Spyware.Cookie.Sextracker : Cleaned with backup
    C:\Documents and Settings\Michael S. Kønig\Cookies\michael s. kønig@tradedoubler[1].txt -> Spyware.Cookie.Tradedoubler : Cleaned with backup
    C:\Documents and Settings\Michael S. Kønig\Cookies\michael s. kønig@vip2.clickzs[2].txt -> Spyware.Cookie.Clickzs : Cleaned with backup
    C:\WINDOWS\system32\MRT.exe -> Heuristic.Win32.AVKiller : Cleaned with backup


::Report End




HijackThis file:

Logfile of HijackThis v1.99.1
Scan saved at 16:32:40, on 21-05-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\bcmwltry.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Belkin\Belkin 802.11g Wireless Card Configuration Utility\utility.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\Program Files\ewido\security suite\ewidoguard.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Michael S. Kønig\Desktop\HijackThis.exe

O4 - HKLM\..\Run: [bcmwltry] bcmwltry.exe
O4 - HKLM\..\Run: [RemoveCpl] RemoveCpl.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Belkin 802.11g Wireless Card Utility.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
Avatar billede arlet Juniormester
21. maj 2006 - 17:20 #16
Er den der også efter en genstart??
Avatar billede f5 Nybegynder
21. maj 2006 - 17:32 #17
ja
Avatar billede arlet Juniormester
21. maj 2006 - 17:34 #18
Hent og installer denne scanner:
http://www.superantispyware.com/downloads/SUPERAntiSpyware1241.exe

Start programmet, klik på Check for updates, når det er opdateret, luk programmet og genstart i fejlsikret(Du skal klikke på f8 tasten under genstarten (ca. lige når der er talt ram), og så vælge fejlsikret tilstand. Er du i tvivl, så klik bare på f8 flere gange.)

Start programmet, klik på Scan your Computer, sæt flueben i de drev der skal scannes.
(Fixed disk betyder harddisk)
Flyt prikken til Perform complete scan og klik på Næste, så kører scanningen.

Når den er færdig kommer der et vindue med en opsummering, klik på OK, klik så på næste og så på Udfør.

Der kommer et vindue med Quarantine and removal Complete, klik på OK, klik på Udfør.
Luk programmet.

Start SuperAntiSpyware igen, klik på Preferences, skift til fanebladet Statistics/Logs, i vinduet dobbeltklikker du på SUPERAntiSpyware Scan Log, den åbner i notesblok, kopier resultatet herind.

Genstart normalt og ny hijackthis log
Avatar billede f5 Nybegynder
21. maj 2006 - 18:16 #19
Det ser ud til at det var det som skulle til.

HiJack:
Logfile of HijackThis v1.99.1
Scan saved at 18:14:44, on 21-05-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\bcmwltry.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Belkin\Belkin 802.11g Wireless Card Configuration Utility\utility.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\Program Files\ewido\security suite\ewidoguard.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Documents and Settings\Michael S. Kønig\Desktop\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
O4 - HKLM\..\Run: [bcmwltry] bcmwltry.exe
O4 - HKLM\..\Run: [RemoveCpl] RemoveCpl.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Belkin 802.11g Wireless Card Utility.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - Winlogon Notify: SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe

Antispayware:
SUPERAntiSpyware Scan Log
Generated 05/21/2006 at 06:04 PM

Core Rules Database Version : 2943
Trace Rules Database Version: 1055

Memory threats detected  : 1
Registry threats detected : 0
File threats detected    : 65

Trojan.SpyFalcon
    C:\WINDOWS\SYSTEM32\SBNUDH.DLL
    C:\WINDOWS\SYSTEM32\SBNUDH.DLL

Adware.Tracking Cookie
    C:\Documents and Settings\Michael S. Kønig\Cookies\michael s. kønig@cz11.clickzs[1].txt
    C:\Documents and Settings\Michael S. Kønig\Cookies\michael s[30].txt
    C:\Documents and Settings\Michael S. Kønig\Cookies\michael s[16].txt
    C:\Documents and Settings\Michael S. Kønig\Cookies\michael s. kønig@www.spyfalcon[1].txt
    C:\Documents and Settings\Michael S. Kønig\Cookies\michael s. kønig@ad1.emediate[1].txt
    C:\Documents and Settings\Michael S. Kønig\Cookies\michael s. kønig@ads.realtechnetwork[1].txt
    C:\Documents and Settings\Michael S. Kønig\Cookies\michael s. kønig@counter7.sextracker[1].txt
    C:\Documents and Settings\Michael S. Kønig\Cookies\michael s. kønig@www.longxxxclips[2].txt
    C:\Documents and Settings\Michael S. Kønig\Cookies\michael s. kønig@www.sexyyounggirls[2].txt
    C:\Documents and Settings\Michael S. Kønig\Cookies\michael s. kønig@toplist[1].txt
    C:\Documents and Settings\Michael S. Kønig\Cookies\michael s. kønig@ad.ofir[1].txt
    C:\Documents and Settings\Michael S. Kønig\Cookies\michael s. kønig@click.payserve[2].txt
    C:\Documents and Settings\Michael S. Kønig\Cookies\michael s[37].txt
    C:\Documents and Settings\Michael S. Kønig\Cookies\michael s. kønig@track.adform[2].txt
    C:\Documents and Settings\Michael S. Kønig\Cookies\michael s. kønig@doubleclick[1].txt
    C:\Documents and Settings\Michael S. Kønig\Cookies\michael s. kønig@tacoda[1].txt
    C:\Documents and Settings\Michael S. Kønig\Cookies\michael s[19].txt
    C:\Documents and Settings\Michael S. Kønig\Cookies\michael s. kønig@cs.sexcounter[2].txt
    C:\Documents and Settings\Michael S. Kønig\Cookies\michael s[36].txt
    C:\Documents and Settings\Michael S. Kønig\Cookies\michael s[52].txt
    C:\Documents and Settings\Michael S. Kønig\Cookies\michael s. kønig@image.masterstats[1].txt
    C:\Documents and Settings\Michael S. Kønig\Cookies\michael s. kønig@ad.yieldmanager[1].txt
    C:\Documents and Settings\Michael S. Kønig\Cookies\michael s[21].txt
    C:\Documents and Settings\Michael S. Kønig\Cookies\michael s[22].txt
    C:\Documents and Settings\Michael S. Kønig\Cookies\michael s. kønig@ads.expedia[1].txt
    C:\Documents and Settings\Michael S. Kønig\Cookies\michael s. kønig@web-stat[2].txt
    C:\Documents and Settings\Michael S. Kønig\Cookies\michael s. kønig@www.my-teensex[1].txt
    C:\Documents and Settings\Michael S. Kønig\Cookies\michael s. kønig@mediaplex[2].txt
    C:\Documents and Settings\Michael S. Kønig\Cookies\michael s. kønig@globalstat[2].txt
    C:\Documents and Settings\Michael S. Kønig\Cookies\michael s. kønig@server.iad.liveperson[2].txt
    C:\Documents and Settings\Michael S. Kønig\Cookies\michael s. kønig@sexlist[1].txt
    C:\Documents and Settings\Michael S. Kønig\Cookies\michael s. kønig@e2.emediate[2].txt
    C:\Documents and Settings\Michael S. Kønig\Cookies\michael s. kønig@media.fastclick[1].txt
    C:\Documents and Settings\Michael S. Kønig\Cookies\michael s. kønig@sextracker[1].txt
    C:\Documents and Settings\Michael S. Kønig\Cookies\michael s. kønig@maxserving[2].txt
    C:\Documents and Settings\Michael S. Kønig\Cookies\michael s. kønig@revsci[1].txt
    C:\Documents and Settings\Michael S. Kønig\Cookies\michael s. kønig@burstnet[2].txt
    C:\Documents and Settings\Michael S. Kønig\Cookies\michael s. kønig@adtech[2].txt
    C:\Documents and Settings\Michael S. Kønig\Cookies\michael s. kønig@revenue[1].txt
    C:\Documents and Settings\Michael S. Kønig\Cookies\michael s[9].txt
    C:\Documents and Settings\Michael S. Kønig\Cookies\michael s. kønig@advertising[2].txt
    C:\Documents and Settings\Michael S. Kønig\Cookies\michael s[14].txt
    C:\Documents and Settings\Michael S. Kønig\Cookies\michael s. kønig@www.adwarepunisher[2].txt
    C:\Documents and Settings\Michael S. Kønig\Cookies\michael s. kønig@ads.monster[2].txt
    C:\Documents and Settings\Michael S. Kønig\Cookies\michael s. kønig@indextools[1].txt
    C:\Documents and Settings\Michael S. Kønig\Cookies\michael s[34].txt
    C:\Documents and Settings\Michael S. Kønig\Cookies\michael s. kønig@www.xxxvogue[1].txt
    C:\Documents and Settings\Michael S. Kønig\Cookies\michael s[44].txt
    C:\Documents and Settings\Michael S. Kønig\Cookies\michael s. kønig@vip2.clickzs[2].txt
    C:\Documents and Settings\Michael S. Kønig\Cookies\michael s[2].txt
    C:\Documents and Settings\Michael S. Kønig\Cookies\michael s. kønig@msnportal.112.2o7[1].txt
    C:\Documents and Settings\Michael S. Kønig\Cookies\michael s[5].txt
    C:\Documents and Settings\Michael S. Kønig\Cookies\michael s. kønig@112.2o7[1].txt
    C:\Documents and Settings\Michael S. Kønig\Cookies\michael s. kønig@sexoflover[1].txt
    C:\Documents and Settings\Michael S. Kønig\Cookies\michael s[13].txt
    C:\Documents and Settings\Michael S. Kønig\Cookies\michael s. kønig@fastclick[2].txt
    C:\Documents and Settings\Michael S. Kønig\Cookies\michael s. kønig@www.0stats[2].txt
    C:\Documents and Settings\Michael S. Kønig\Cookies\michael s. kønig@icc.intellisrv[2].txt
    C:\Documents and Settings\Michael S. Kønig\Cookies\michael s. kønig@server.cpmstar[1].txt
    C:\Documents and Settings\Michael S. Kønig\Cookies\michael s. kønig@stat.inleadmedia[1].txt
    C:\Documents and Settings\Michael S. Kønig\Cookies\michael s. kønig@m1.webstats4u[1].txt
    C:\Documents and Settings\Michael S. Kønig\Cookies\michael s. kønig@23sex[1].txt
    C:\Documents and Settings\Michael S. Kønig\Cookies\michael s[3].txt
    C:\Documents and Settings\Michael S. Kønig\Cookies\michael s[38].txt
Avatar billede arlet Juniormester
21. maj 2006 - 19:23 #20
Det var godt det lykkes og jeg kan se at du har fået lov til at vælge google som startside, så det skulle virke nu..

Så er din log ren.

Efter sådan en tur er det altid en god ide og rydde op i dine systemgendannelses filerne.
Deaktiver systemgendannelse ( http://www.arlet.dk/systemgendannelsen.htm ) - genstart din computer - aktiver systemgendannelse.

Generel oprydning: http://www.arlet.dk/oprydning.htm

For at beskytte dig mod snavs har jeg lavet en sikkerhedspakke,
som du kan se her : www.arlet.dk/pakke.htm
Avatar billede f5 Nybegynder
21. maj 2006 - 20:30 #21
Super.
Tak for hjælpen.

I for begge nogle point :)

VH
Michael
Avatar billede levich Nybegynder
19. juli 2006 - 22:51 #22
Pointfordeling?
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Andet sikkerhed kategorien

Titel Indlæg Oprettet Seneste aktivitet
Automatisering af certifikat proces - Danske virksomheder Af Søren i Andet sikkerhed 1 29/05/202414:23 30/05/202409:03
VPN i forhold til facebook? Af Novice-1 i Andet sikkerhed 2 26/05/202412:09 26/05/202420:54
Fjerne adgangskode Af Geo" søster i Andet sikkerhed 4 25/04/202418:19 26/04/202422:46
Krypetring af USB -stick Af FinBalance i Andet sikkerhed 16 04/03/202412:39 08/03/202415:52
Hvorfor nævnes VPN beskyttelse aldrig af eksperter? Af jcr18 i Andet sikkerhed 11 01/03/202419:47 04/03/202411:25
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I dag 16:56 Kan min mobil hackes Af SBS i Mobiltelefoner
I dag 12:56 Forskellige billeder til forskellige skærme ? Af snedker1 i Mac
I dag 11:56 Om brug af funktionen sumprodukt Af Erik R i Excel
I går 22:41 Hjælp til at skrive opgave Af Needhelp i Småopgaver
I går 14:04 Pixeline cd’er til PC Af Mathilde i Windows
White papers
Flere white papers »


Premium
Teaser billede
Dynamics-kæmpen Cepheo leverer røde tal i første regnskab som selvstændigt selskab
Læs mere »
IBM-direktør efter blodrødt regnskab: “Vi er godt på vej ud af det stormvejr, som ramte os i 2023”
Stiftere overvejer at gøre Flatpay til en bank – krav om compliance er en stopklods
Rejsekort reducerer kraftigt den tid, som selskabet vil beholde dine lokationsdata i: Vil nu slette dem efter få måneder
Se alle »
Computerworld
Teaser billede
Test: Endelig en skærm der er god til alt - lige fra gaming og underholdning til kontorbrug
Læs mere »
I dag træder nye de regler om registrering af din arbejdstid i kraft: Er du klar?
700.000 Linux-systemer kan været truet af ny alvorlig sårbarhed
Wordperfect-stifteren Bruce Bastian er død: Han revolutionerede tekstbehandlingen, men tabte slaget til Microsoft
Se alle »
CIO
Teaser billede
I dag træder nye de regler om registrering af din arbejdstid i kraft: Er du klar?
Læs mere »
Russisk hack af Microsoft er meget større end først antaget
Halter mange år bagefter: Langsom software-udvikling udfordrer kæmpe digitalt løft af Billund Lufthavn
Efter forbud fra Datatilsynet: Nu ændres data-håndteringen i din kørekort-app
Se alle »
Job & Karriere
Teaser billede
Bo solgte sit software-system for et treciftret millionbeløb: Brugte pengene på at købe 80 medarbejdere til ny storsatsning
Læs mere »
Norlys skal splittes op i fem selskaber: Nu bliver flere ansatte og ledere fyret
Dansk top-profil trækker sig fra Microsoft: Skal være direktør i TDC Erhverv
IBM Danmark skifter ud i sin øverste ledelse - her er den nye direktion
Se alle »
White paper
Teaser billede
MDR: Transparent sikkerhed og overvågning i realtid
Læs mere »
Opdag fordelene ved cloud-baseret backup og recovery
Guide: Sådan udvikler du en moderne netværksstrategi
Sådan gør du: Elektronisk dokumentudveksling i praksis
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »