Kan ikke lave systemgendannelse pga fejl på disken boot (c:)

Hvad med at køre en recovery? Ved virus-angreb er det tit den bedste løsning for at få det effektivt ud.

Win98, ME, W2000, XP, Vista, Win7, OS/2, Unix, Linux, ... ?

Vælg det rigtige styresystem og kør denne scanning.

Til XP styresystem:
Sæt Windows cd'en i drevet > når den popper-op så luk den ned oppe i det røde X i højre hjørne.
Gå i Start > Kør > Skriv: sfc /scannow - bemærk mellemrummet efter sfc > Tryk OK
Der kommer en bjælke så længe scanningen køre - og når den er færdig forsvinder den igen og du får ikke andre meldinger.
Genstart…

Til Vista styresystem:
Gå i Start - Skriv i søgefeltet > cmd > vælg det program som hedder > cmd.exe > og højreklik på den og sig "Kør som administrator"
Skriv: SFC.exe /Scannow > ENTER
Indsæt din Windows CD/DVD, hvis du bliver bedt om det.
Efter scanningen > Genstart…

Du kan også prøve at kigge på dette program ,som er rigtig godt til at få liv i harddiske igen ,det reparere uden at ændre data
HDD Regenerator 1.71
http://www.dposoft.net/#b_hddhid
ved godt at demoen ikke reparere det hele men du kan få en oversigt over hvor slemt det er

Jeg har geninstalleret windows (vista) og har allerede igen fået den virus der startede det hele. Det er det falske virusprogram jeg ikke kan komme af med. Den popper jævnligt op med denne besked: Malicious software removal tool - your computer can be infected with spying programs (spyware) It is recommended that you run a quick system check now - yes - no. Jeg er ved at blive godt irriteret på den, da jeg endnu ikke har haft held til at komme den til livs.

Hvad hedder det falske virus program helt nøjagtigt
der findes nemlig mange forskellige

Hmmm...

... har geninstalleret windows (vista) o... + ...igen fået den virus...

Havde du (inter)netværket 100% frakoplet under hele instalationen ?
Har du 100% WindowsUpdate ? Incl ServicePack1 + ServicePack2 til Vista ?
Sikkerhedsprogram ? Opdatering af samme ?

Jeg satte først internet til, da jeg havde geninstalleret vista, men måske lå den i den gamle mappe "Windows.old". Har kigget lidt omkring og er helt sikker på, at det er denne virus der har inficeret min computer: http://news.cnet.com/conficker-also-installs-fake-antivirus-software/

Lige nu er det mest irriterende element, at jeg ikke kan gå ind på microsoft.com samt flere antivirus sider.

Jeg har prøvet et par af de anbefalede removal tools, men de finder ikke noget, hvilket jeg ikke fatter da jeg nærmest er 100% sikker på at det er conficker-virussen der driller.

Så er det denne 'pakke' ->

Hent og instalér CCleaner http://www.ccleaner.com/ + http://www.spywarefri.dk/manualer/manual-for-installation-og-brug-af-ccleaner/
Under installationen får du tilbudt [Yahoo Toolbar]. Du kan sige ja eller *NEJ* til den.
http://vistaguide.dk/?Artikler/CCleaner-GuideTilOptimeringAfVista/763
Lad programmet foretage en oprydning...

--------

Hent Malwarebytes Anti-Malware herfra:
http://www.besttechie.net/tools/mbam-setup.exe
Eller herfra ->
http://www.majorgeeks.com/Malwarebytes_Anti-Malware_d5756.html

Installer programmet - når det er gjort skal du lade programmet opdatere sig. Herefter åbner et vindue, hvor du skal flytte prikken til "Kør et fuldstændigt systemscan" - klik på Skan Knappen - lad programmet arbejde. Når det er færdig (det tager lidt tid afhængig af hvor meget du har på computeren).
Derefter - Tryk på "Vis resultater" knappen efter scanningen - og herefter tryk på "Fjern det valgte" - nu åbnes log'en og du skal gemme den et sted, hvor du kan finde den igen.
Kopier indholdet herind sammen med en frisk log fra HiJackThis...

...og her er omtalte HiJackThis ->
http://www.spywareinfo.dk/index.htm#/manualer/hijackthis.htm

Bemærk at HiJackThis.exe programmet skal gemmes i en dertil oprettet mappe og IKKE køres direkte fra nettet...

PS: Brug denne version af HJT -> http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe

Mht.: Vista - HøjreMusseTast på *.EXE filen - Kør som Administrator...

------------------

NB: Hvis du ikke skal bruge noget fra C:\Windows.OLD så SLET den...

http://www.xp-vista.com/spyware-removal/spyware-protect-2009-removal

Jeg har kørt guiden igennem og er forment adgang til diverse sider, så som microsoft, spywarefri og en masse antivirussider.
Hermed de to logs:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:20:37, on 08-09-2009
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16386)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Adobe\Reader 9.0\Reader\reader_sl.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\Program Files\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~3\Office12\GRA8E1~1.DLL
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Hjælp til tilmelding til Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [ter8m] RUNDLL32.EXE C:\Windows\TEMP\msxm192z.dll,w
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKAL TJENESTE')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKAL TJENESTE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETVÆRKSTJENESTE')
O4 - HKUS\S-1-5-18\..\Run: [ter8m] RUNDLL32.EXE C:\Windows\TEMP\msxm192z.dll,w (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [ter8m] RUNDLL32.EXE C:\Windows\TEMP\msxm192z.dll,w (User 'Default user')
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Save YouTube Video as MP3 - res://C:\Program Files\Common Files\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP3.htm
O9 - Extra button: Send til OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end til OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O13 - Gopher Prefix:
O16 - DPF: {07D09E9E-C667-45DD-B035-217BC2A61A3B} (ActiveX sikkerhedssoftware Control) - https://www.portalbank.dk/package/sdc/external/activex/ActiveXSikkerhedssoftware-prod-1.30.cab
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.systemrequirementslab.com/srl_bin/sysreqlab_srl.cab
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~3\Office12\GR99D3~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: sofatnet  Service (sofatnet) - Sigma Designs In - C:\Windows\system32\sofatnet.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

--
End of file - 6310 bytes



Malwarebytes' Anti-Malware 1.40
Database version: 2551
Windows 6.0.6000

08-09-2009 17:11:38
mbam-log-2009-09-08 (17-11-38).txt

Skan type: Fuldstændig skanning (C:\|D:\|)
Objekter skannet: 214390
Tid tilbagelagt: 56 minute(s), 36 second(s)

Inficerede Hukommelses Processer: 2
Inficerede Hukommelses Moduler: 1
Inficerede Registeringsdatabase Nøgler: 4
Inficerede Registeringsdatabase Værdier: 11
Inficerede Registeringsdatabase Filer: 0
Inficerede Mapper: 1
Inficerede Filer: 9

Inficerede Hukommelses Processer:
C:\Windows\Temp\VRTB7EC.tmp (Backdoor.Bot) -> Unloaded process successfully.
C:\Windows\System32\wiawow32.sys (Backdoor.Bot) -> Unloaded process successfully.

Inficerede Hukommelses Moduler:
C:\Windows\System32\EvdoServer.dll (Backdoor.Bot) -> Delete on reboot.

Inficerede Registeringsdatabase Nøgler:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\evdoserver (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\evdoserver (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Protection System (Rogue.ProtectionSystem) -> Quarantined and deleted successfully.

Inficerede Registeringsdatabase Værdier:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\BuildW (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\FirstInstallFlag (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\guid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\i (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\mso (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\udso (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\uid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\Ulrn (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\Update (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\UpdateNew (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\mEv (Malware.Trace) -> Quarantined and deleted successfully.

Inficerede Registeringsdatabase Filer:
(Ingen mistænkelige filer fundet)

Inficerede Mapper:
C:\Program Files\Protection System (Rogue.ProtectionSystem) -> Quarantined and deleted successfully.

Inficerede Filer:
C:\Windows\Temp\VRTB7EC.tmp (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Windows\System32\EvdoServer.dll (Backdoor.Bot) -> Delete on reboot.
C:\Windows\System32\dvdpaly.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Windows\System32\wiwow64.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Windows\Temp\VRT2E61.tmp (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Windows\Temp\VRT3A35.tmp (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Windows\System32\FInstall.sys (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Windows\System32\wiawow32.sys (Backdoor.Bot) -> Delete on reboot.
C:\Windows\sc.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.


Jeg takker mange gange fordi du gider bruge tid på at løse folks problemer. Det er ekstremt prisværdigt :)

Nøøøøj - Malwarebytes fik en del at se til der !!!

Der er stadig 'noget' utøj tilbage - derfor ->

------------------------------------------------------------------------

Kør en scanning med Hijackthis, HøjreMusseTast - Kør som Administrator...
Du får herunder nogle filer, som du skal fixe. Det, du skal gøre, er at sætte et flueben ud for disse filer. Når du har gjort det, så lukker du alle andre vinduer ned. Det er meget vigtigt at det eneste vindue, som er åbent er HijackThis vinduet. Husk også at lukke dette vindue, når du har markeret filerne. Nu må du fixe. Klik på Fix checked.

Det er disse, som skal fixes:

O4 - HKCU\..\Run: [ter8m] RUNDLL32.EXE C:\Windows\TEMP\msxm192z.dll,w
O4 - HKUS\S-1-5-18\..\Run: [ter8m] RUNDLL32.EXE C:\Windows\TEMP\msxm192z.dll,w (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [ter8m] RUNDLL32.EXE C:\Windows\TEMP\msxm192z.dll,w (User 'Default user')

Genstart normalt...

------------------------------------------------------------------------

Kan du så nu få fat i
http://www.microsoft.com/
http://www.spywarefri.dk/

osv osv ...

------------------------------------------------------------------------

Du får lige en 'opsang' *S* ->

Ved en 100% geninstalation / formatering bør (=SKAL) du gennemføre 100% FULD WindowsUpdate før du begynder på noget som helst andet mht andre programmer/tilbehør/spil/internet "dit og dat".
Du har tilsyneladende instaleret M$ Office + Alcohol 120 + .... uden at gennemføre ovenstående...

Husk M$ ServicePack1 til Vista -> http://www.microsoft.com/downloads/details.aspx?displaylang=da&FamilyID=f559842a-9c9b-4579-b64a-09146a0ba746
Husk M$ ServicePack2 til Vista -> http://www.microsoft.com/downloads/details.aspx?displaylang=da&FamilyID=891ab806-2431-4d00-afa3-99ff6f22448d

+ efterfølgende opdateringer fra [WindowsUpdate] - der skal nok være >200Mb...

Ved godt det er skidt, at jeg ikke fik installeret opdateringerne med det samme. Jeg erindrer bare at det er noget den automatisk spørger om når man har geninstalleret og eftersom der ikke blev spurgt (pga virus) glemte jeg det helt. Det var da jeg ville gøre det manuelt, at jeg fandt ud af det ikke kunne lade sig gøre. Jeg kan stadig ikke gå ind på microsoft m. flere og avast bliver ved med at skrive at den har fundet virussen Win32:MalOb-R [Cryp] i temp-folderen. Denne virus bliver ved med at komme selvom jeg har prøvet både at slette den og "flytte til viruskiste"..

Puuuha...hvad gør jeg nu?

Malwarebytes' burde kunne æde den...

Kør Malwarebytes HøjreMusseTast - Kør som Administrator...
Opdatér ! Opdatér ! Opdatér !!
Du bruger en gammel "Database version: 2551"
Nuværende i skrivende stund "Database version: 2758"

Derefter FULD scanning...

slå systemgendannelse fra og kør diverse scannere igen (virus ,mallware ,osv)
til alt er væk
genstart og aktiver systemgendannelse igen

Jeg kan ikke opdatere Malwarebytes da den funktion er blokeret af virussen (kan heller ikke besøge deres hjemmeside). Hvordan slår man systemgendannelse fra?

Har fundet ud af det sidste..

Instalér Malwarebytes på en anden PC. Opdatér der.

Copy
* C:\Programmer\Malwarebytes' Anti-Malware\
til tilsvarende mappe på den syge PC

(Brug en USB memorystick ell. lign. ...)

Check (på den syge) med MalwareBytes at database versionen nu er [2758] eller bedre ...

SÅ kør Malwarebytes NB: HøjreMusseTast - Kør som Administrator...

Det må jeg lige prøve i morgen. Har ik mere end en pc'er stående pt. Har aldrig rigtig haft problemer med virus, men må godt nok sige at den her sætter min tålmodighed på prøve :)

Hejsa

jeg har lavet en pakket mappe til dig med version 2759
kan hentes her http://www.myupload.dk/showfile/3113369f264.rar/
pak ud og læg den som karise_larry siger

Tak for den gode hensigt. Programmet kan desværre ikke åbnes når man "installerer" det på den måde. Har også prøvet at installere det rigtigt og kopiere og erstatte med filerne fra din pakke i håb om at en af dem indeholdt opdateringen, men dette virkede ikke. Tar jeg fejl hvis det her lugter lidt af en formatering?

... hvordan men dette virkede ikke ?

Vent lidt med at formatere
det kan være at vi kan snyde virusen ved at gå igennem openDNS server
her er guiden til Vista

https://www.opendns.com/start/device/windows-vista

foretrukken server 208.67.222.222
alternativ server 208.67.220.220

tastes ind i netværks indstillinger i stedet for automatisk DNS server

prøv så at opdatere mallwarebytes igen

og når alt er opdateret går du bare tilbage
og vælger automatisk DNS server igen

Det virkede ikke i den forstand, at det stadig var den gamle database programmet kørte på. Jeg prøver lige dit forslag "jonner40".

Virussen kunne desværre ikke snydes på den måde. Det irriterer mig, hvis jeg er nødt til at formatere da computeren kører ganske glimrende på alle andre punkter end at jeg ikke kan besøge microsoft og antivirus-sider. Dog er det naturligvis helt uholdbart ikke at kunne opdatere sit windows...

Lægger lige hovedet i blød og tænker lidt over det

-- Hent Combofix fra et af disse links, og gem den på et passende medie:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
http://download.bleepingcomputer.com/sUBs/Beta/ComboFix.exe

-- Kør så combofix.exe på den syg PC, og følg anvisningerne.
Du bør ikke klikke på vinduet imens værktøjet kører, idet det kan få din computer til at fryse.
Når combofix er færdig, og efter det har genstartet, skulle der gerne åbnes en logfil: combofix.txt
Indholdet af denne fil må du gerne lægge herind.

endnu en mulighed

http://www.avira.com/en/support/kbdetails.php?id=457

og her
http://remove-malware.net/how-to-remove-spyware-protect-2009/

er vi egentlig helt sikker på hvilken virus der kæmpes imod

Nej, jeg er ikke helt sikker på hvilken virus det er. Combofix giver dog muligvis svaret. Jeg kan nemlig ikke åbne combofix, da den kommer med meddelelsen "this combo-fix had been compromised by a virus patch "virut", hvorefter filen sletter sig selv. Begge links "jonner40" har givet mig er utilgængelige pga virussen.

Download Spyware Protect 2009 Automatic Remover

download og pak ud og kør (muligvis som administrator)
http://www.myupload.dk/showfile/311682af8ca.rar/

dette program skulle måske kunne klare opgaven

Her er manuel fjernelse

How to remove Spyware Protect 2009 manually:
Manual removal of Spyware Protect 2009 is feasible if you have sufficient expertise in working with program files, system processes, .dll files and registry entries.

The files to be deleted are listed below:

•%WINDOWS%\aazalirt.exe
•%WINDOWS%\dkekkrkska.exe
•%WINDOWS%\dkewiizkjdks.exe
•%WINDOWS%\iddqdops.exe
•%WINDOWS%\ienotas.exe
•%WINDOWS%\iqmcnoeqz.exe
•%WINDOWS%\irprokwks.exe
•%WINDOWS%\jikglond.exe
•%WINDOWS%\jiklagka.exe
•%WINDOWS%\jrjakdsd.exe
•%WINDOWS%\jungertab.exe
•%WINDOWS%\kitiiwhaas.exe
•%WINDOWS%\kkwknrbsggeg.exe
•%WINDOWS%\klopnidret.exe
•%WINDOWS%\krkdkdkee.exe
•%WINDOWS%\krkmahejdk.exe
•%WINDOWS%\krtawefg.exe
•%WINDOWS%\krujmmwlrra.exe
•%WINDOWS%\ktknamwerr.exe
•%WINDOWS%\kuruhccdsdd.exe
•%WINDOWS%\ooorjaas.exe
•%WINDOWS%\oranerkka.exe
•%WINDOWS%\oropbbsee.exe
•%WINDOWS%\ronitfst.exe
•%WINDOWS%\seeukluba.exe
•%WINDOWS%\skaaanret.exe
•%WINDOWS%\sysguardn.exe
•%WINDOWS%\tobmygers.exe
•%WINDOWS%\tobykke.exe
•%WINDOWS%\zibaglertz.exe
•%WINDOWS%\otnnbektre.exe
•%WINDOWS%\otowjdseww.exe
•%WINDOWS%\otpeppggq.exe
•%WINDOWS%\rkaskssd.exe
•Spyware Protect 2009.lnk
•Uninstall Spyware Protect 2009.lnk
The associated registry entries to be removed are as follows:

•HKEY_CURRENT_USER\Software\AvScan
•
•HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "sysguardn"
Please, be informed that manual removal of Spyware Protect 2009 is a cumbersome procedure and does not always ensure complete deletion of the malware, since some files might be hidden or may automatically reanimate themselves afterwards. Moreover, manual interference of this kind may cause damage to the system. That's why we strongly recommend automatic removal of Spyware Protect 2009, which will save your time and enable avoiding any system malfunctions and guarantee the needed result

Spyware doctor kan ikke starte hvis ikke man opdaterer malware-fjerner databasen og der løber jeg ind i samme problem som med malwarebytes, altså at det ikke kan lade sig gøre. Det er sq godtnok en effektiv infektion min computer har pådraget sig! Jeg prøver den manuelle fjernelse senere når jeg har tid.

Kan være at der skal en bootcd til i stedet for
så her er Avira antivir rescue system cd

http://www.myupload.dk/showfile/31181503457.rar

isoen skal brændes ud på cd

og her er guiden

This is how you remove Worm/Conficker from your system:

Preparation:
•Download Avira AntiVir Rescue System from our website and burn the Rescue-CD.
Run this file and create the Avira AntiVir Rescue CD.
•Load and install Microsoft Security Bulletin MS08-067:
http://207.46.232.182/technet/security/bulletin/ms08-067.mspx

We recommend that you always install security-related Microsoft patches, to make sure your system is safe. To do this, you can use Windows' automatic update function or, in special cases (such as servers with certain applications) you can manually install the patches, but make it on time!

Procedure
1.Edit the file C:\%WindowsDIR%\System32\Drivers\etc\HOSTS, by adding the following entries at the end:
80.190.143.230 dl10.freeav.net
80.190.143.239 dl9.freeav.net
62.146.66.179 dl8.freeav.net
62.146.66.178 dl7.avgate.net
80.190.143.236 dl6.avgate.net
80.190.143.235 dl5.avgate.net
62.146.66.184 dl4.avgate.net
62.146.66.183 dl3.avgate.net
62.146.66.182 dl2.avgate.net
62.146.66.181 dl1.avgate.net
62.146.87.172 dl2.antivir-pe.de
62.146.87.171 dl1.antivir-pe.de
62.146.210.32 dl4.pro.antivir.de
80.190.154.63 dl3.pro.antivir.de
62.146.210.32 dl2.pro.antivir.de
62.146.210.31 dl1.pro.antivir.de
80.190.154.66 dlpro.antivir.com
2.Update AntiVir, after you restart Windows.
3.Deactivate Windows System Recovery.
4.Restart the computer and boot from the AntiVir Rescue CD.
5.Activate the options Try to repair infected files and Rename files, if they cannot be removed. Then scan your computer with AntiVir Rescue System.
6.Unplug the network cable and start the computer in Safe Mode with Networking.
7.Save the following file on your computer and unpack the archive. Then double-click on Conficker_registry_fix.reg to clean out the changes made by the malware in the Windows Registry.
Conficker_registry_fix.zip
8.Open the configuration of your network card from Start - Settings - Control Panel - Network Connections. Right-click the connection and select Properties. Deactivate File and Printer Sharing for Microsoft Networks and press OK.

Note:
◦If you use WindowsXP, open the properties of your network card by clicking the Advanced tab,
◦Press Settings for Windows Firewall,
◦Click the Exceptions tab and deactivate the exception port, which has an unusual and illogic name. This page is incidentally listed among blocked sites.
9.Scan all local drives with AntiVir and delete all infected files.
10.Restart the computer and reconnect it to the network.
11.Follow the steps under Prevention on the Microsoft Support site:
http://support.microsoft.com/kb/962007/en

Jeg kan ikke åbne de to nederste links...

Første link kan downloades her http://www.myupload.dk/showfile/31208470788.rar


andet link kan downloades her
http://www.myupload.dk/showfile/31208567e03.rar

Tak for hjælpen. Jeg prøver det når jeg får fri i dag :)

Hej med jer.

Har selv samme fejl, her kom den dog ikke som et virus program.

Men kan ikke bruge winrar, notepad, eller andre programmer samt den lukker for alle antivirus sider på nettet, kan heller ikke komme ind på avast.com

Skal jeg formatere eller er der en løsning?

Mvh Christian Ahmling.

Ref. #37 - har du fået fri ???

-- Hent Combofix fra et af disse links, og gem den på et passende medie:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
http://download.bleepingcomputer.com/sUBs/Beta/ComboFix.exe

DU SKAL IKKE NAVNGIVE DEN COMBOFIX.EXE MEN NOGET HELT ANDET

-- Kør så [NavnetDuHarGivetDen].exe på den syg PC, og følg anvisningerne.
Du bør ikke klikke på vinduet imens værktøjet kører, idet det kan få din computer til at fryse.
Når combofix er færdig, og efter det har genstartet, skulle der gerne åbnes en logfil: combofix.txt
Indholdet af denne fil må du gerne lægge herind

Nogen der vil have point?

Ping...
(Dette er et [svar]...)