Fjernelse af Spyware

Er du sikker på at det er spyware - lyder mest som noget windows skrammel?
Ellers prøv det her
http://www.spywarefri.dk/onlinevark.htm
X-block for Spyware
Panda for virus

Jo den er kendt og berygtet. Der er ingen vej uden om en HijackThis hvis du vil ha' din puter ren. Det er en sej satan kan jeg godt sige dig på forhånd. Men ind på Spywarefri. Klik på Værktøjer i menuen til venstre. Find HijackThis. Download og scan og paste loggen ind her. Desværre er det den eneste udvej.

Adware 6.0 : http://download.com.com/redir?pid=10214379&merid=69274&mfgid=69274&ltype=dl_dlnow&lop=link&edId=3&siteId=4&oId=3120-2144-10214379&ontId=2144&dlrs=1&destUrl=%2F3001-2144-10214379.html

Er rigtig godt! bruger det selv..

//Blue-

http://download.com.com/3001-2144-10187262.html der er noget på download.com

Det er meget godt med jeres link til ad-aware, men den klarer altså ikke Jetseeker, der er desværre kun Hijackthis.

Jeg har downloaded Hijackthis og fået følgende ved scan:

Logfile of HijackThis v1.95.0
Scan saved at 20:51:42, on 15-07-2003
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\VCDLF.EXE
C:\PROGRAMMER\WINAMP\WINAMPA.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\UNZIPPED\HIJACKTHIS195\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.ni.dk/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant=about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch=http://www.searchv.com/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.searchv.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant=
O2 - BHO: (no name) - {EBCDDA60-2A68-11D3-8A43-0060083CFB9C} - C:\WINDOWS\SYSTEM\NZDD.DLL
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMER\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: @msdxmLC.dll,-1@1030,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: (no name) - {82599E0A-8C81-11d7-9F97-0050FC5441CB} - C:\WINDOWS\SYSTEM\shdocvw.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [DLF_00000400] C:\WINDOWS\SYSTEM\Vcdlf.exe /c
O4 - HKLM\..\Run: [WinampAgent] "C:\PROGRAMMER\WINAMP\WINAMPa.exe"
O4 - HKLM\..\Run: [Launcher] "C:\Programmer\MLH\launcher.exe" /P
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [system] C:\systemsearch.hta
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - Startup: DLHelperEXE.exe
O4 - Startup: PowerReg Scheduler V3.exe
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {5445BE81-B796-11D2-B931-002018654E2E} (MeadCo Security Manager) - http://www.livehelpcasino.com/wcsapp/weblib/Javascript/messaging/ie/SecMgr.cab
O16 - DPF: {AED98630-0251-4E83-917D-43A23D66D507} (WebHandler Class) - http://activex.microgaming.com/DLHelper/DLHelper.cab
O16 - DPF: ChatSpace Java Client 2.1.0.88L (WebHandler Class) - http://216.65.197.84:8080/Java/cs4msl088.cab
O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - http://www.installengine.com/engine/isetup.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a224.g.akamai.net/7/224/52/20010620/qtinstall.info.apple.com/qt502/us/win/QuickTimeInstaller.exe
O16 - DPF: {02466323-75ED-11CF-A267-0020AF2546EA} (VivoActive Control) - http://player.vivo.com/ie/vvweb.cab
O16 - DPF: {1C955F3B-5B32-4393-A05D-24B4970CD2A1} (Video Class) - http://stream10k.redhotnetworks.com/cabs/videox.cab
O16 - DPF: lass414 (Video Class) - https://onlinegames2.lasseters.com.au/classes/lass414.cab
O16 - DPF: ConferenceRoom Java Client (Video Class) - http://chat.privatefeeds.com:8000/java/cr.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {C36661D7-3590-45B1-80B5-520839E94DAD} (MaxisSimCity4PatcherX Control) - http://simcity.ea.com/patch/MaxisSimCity4PatcherX.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://simcity.ea.com/patch/EARTPX.cab
O16 - DPF: {D3D83E08-54D1-4E9D-8EAF-9F979D139294} (MaxisSimCityScapeTeleX Control) - http://simcity.ea.com/scape/teleport/MaxisSimCityScapeTeleX.cab
O16 - DPF: {BC18E6DF-BE57-4580-93E8-F228F9A133AA} (MaxisSimCity4LotTeleX Control) - http://simcity.ea.com/exchange/lots/teleport/MaxisSimCity4LotTeleX.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as/asinst.cab

Løb lige selv dem igennem der starter med 016, det kan være noget du har installeret med vilje.
Hvis du er den mindste smule i tvivl om nogen af dem, så spørg så undersøger vi det.
Specielt den her kan jeg ikke rigtigt lide:
O16 - DPF: {5445BE81-B796-11D2-B931-002018654E2E} (MeadCo Security Manager) - http://www.livehelpcasino.com/wcsapp/weblib/Javascript/messaging/ie/SecMgr.cab

Nu kommer dem du skal fixe men vent helt til sidst til du får grønt lys.
Fixes
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant=about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch=http://www.searchv.com/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.searchv.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant=
O2 - BHO: (no name) - {EBCDDA60-2A68-11D3-8A43-0060083CFB9C} -

perhaps

Er der flere end de 5 der skal slettes

Fixes
O4 - HKLM\..\Run: [DLF_00000400] C:\WINDOWS\SYSTEM\Vcdlf.exe /c

Ja, jeg undersøger endnu og Fromsej kommer med en nøjagtig vejledning tilsidst. Du må ikke gøre noget endnu

ok

Fixes:
O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - http://www.installengine.com/engine/isetup.cab
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O4 - Startup: DLHelperEXE.exe
Explorer\Search,SearchAssistant=about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.searchv.com/
Det skulle være det.

Hvis du bruger Windows XP eller ME, skal du slå systemgendannelse fra:
http://www.spywarefri.dk/virus.htm#alle - slå systemgendannelse fra
Derefter lukker du ALLE programmer ned undtagen Hijackthis, så markerer du de linier vi har skrevet, vælger Fix checked, når det er gjort, genstarter du maskinen, sluk den helt,
Start op igen, kør hijackthis, læg loggen herind.*S*
Pøj-pøj.

Ok jeg har markeret de 9 fixes, sat flueben i deaktiveret systemgendannelse og vælger fix checked og genstarter.

Godt.

Ok jeg har genstartet. Boksen kom igen frem her er den nye log:

Logfile of HijackThis v1.95.0
Scan saved at 21:44:38, on 15-07-2003
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\PROGRAMMER\WINAMP\WINAMPA.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\UNZIPPED\HIJACKTHIS195\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.ni.dk/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.searchv.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant=
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMER\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: @msdxmLC.dll,-1@1030,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: (no name) - {82599E0A-8C81-11d7-9F97-0050FC5441CB} - C:\WINDOWS\SYSTEM\shdocvw.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [WinampAgent] "C:\PROGRAMMER\WINAMP\WINAMPa.exe"
O4 - HKLM\..\Run: [Launcher] "C:\Programmer\MLH\launcher.exe" /P
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [system] C:\systemsearch.hta
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - Startup: PowerReg Scheduler V3.exe
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {5445BE81-B796-11D2-B931-002018654E2E} (MeadCo Security Manager) - http://www.livehelpcasino.com/wcsapp/weblib/Javascript/messaging/ie/SecMgr.cab
O16 - DPF: {AED98630-0251-4E83-917D-43A23D66D507} (WebHandler Class) - http://activex.microgaming.com/DLHelper/DLHelper.cab
O16 - DPF: ChatSpace Java Client 2.1.0.88L (WebHandler Class) - http://216.65.197.84:8080/Java/cs4msl088.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a224.g.akamai.net/7/224/52/20010620/qtinstall.info.apple.com/qt502/us/win/QuickTimeInstaller.exe
O16 - DPF: {02466323-75ED-11CF-A267-0020AF2546EA} (VivoActive Control) - http://player.vivo.com/ie/vvweb.cab
O16 - DPF: {1C955F3B-5B32-4393-A05D-24B4970CD2A1} (Video Class) - http://stream10k.redhotnetworks.com/cabs/videox.cab
O16 - DPF: lass414 (Video Class) - https://onlinegames2.lasseters.com.au/classes/lass414.cab
O16 - DPF: ConferenceRoom Java Client (Video Class) - http://chat.privatefeeds.com:8000/java/cr.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {C36661D7-3590-45B1-80B5-520839E94DAD} (MaxisSimCity4PatcherX Control) - http://simcity.ea.com/patch/MaxisSimCity4PatcherX.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://simcity.ea.com/patch/EARTPX.cab
O16 - DPF: {D3D83E08-54D1-4E9D-8EAF-9F979D139294} (MaxisSimCityScapeTeleX Control) - http://simcity.ea.com/scape/teleport/MaxisSimCityScapeTeleX.cab
O16 - DPF: {BC18E6DF-BE57-4580-93E8-F228F9A133AA} (MaxisSimCity4LotTeleX Control) - http://simcity.ea.com/exchange/lots/teleport/MaxisSimCity4LotTeleX.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as/asinst.cab

Det ser ud til at de to ikke blev slettet.

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.searchv.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant=

Ja, de skal altså væk så må du prøve igen, desværre alf27. Kigger den lige igennem for at se om der er andet.

Ok, jeg prøver med de to igen

Fixes:
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.searchv.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant=
O3 - Toolbar: (no name) - {82599E0A-8C81-11d7-9F97-0050FC5441CB} - C:\WINDOWS\SYSTEM\shdocvw.dll
O4 - HKLM\..\Run: [Launcher] "C:\Programmer\MLH\launcher.exe" /P
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
Livehelpcasino kender du den, ellers skal den fixes.
O16 - DPF: {5445BE81-B796-11D2-B931-002018654E2E} (MeadCo Security Manager) - http://www.livehelpcasino.com/wcsapp/weblib/Javascript/messaging/ie/SecMgr.cab
De to her kan jeg ikke finde noget på, så vi lader dem være dennegang.
O4 - HKLM\..\Run: [system] C:\systemsearch.hta
O4 - Startup: PowerReg Scheduler V3.exe
Især den nederste burde du kende til, hvis du ikke har et program der hedder sådan, så fix den.
Det skulle være det, følg vejledningen fra før, så snakkes vi ved om lidt.
Der skal sommetider to-tre runder til, inden det lykkes.

Enig med fromsej

Så er de to væk.

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.searchv.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant=

O4 - Startup: PowerReg Scheduler V3.exe'
Har jeg haft lige fra starten så jeg tror ikke det er den der volder problemer.

Jeg prøver og slette de her først:
O3 - Toolbar: (no name) - {82599E0A-8C81-11d7-9F97-0050FC5441CB} - C:\WINDOWS\SYSTEM\shdocvw.dll
O4 - HKLM\..\Run: [Launcher] "C:\Programmer\MLH\launcher.exe" /P
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
Livehelpcasino kender du den, ellers skal den fixes.
O16 - DPF: {5445BE81-B796-11D2-B931-002018654E2E} (MeadCo Security Manager) - http://www.livehelpcasino.com/wcsapp/weblib/Javascript/messaging/ie/SecMgr.cab

Så røg de næste fire, men skidtet bliver ved med at dukke op. Her er den nyeste log:

Logfile of HijackThis v1.95.0
Scan saved at 22:24:09, on 15-07-2003
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMMER\WINAMP\WINAMPA.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\UNZIPPED\HIJACKTHIS195\HIJACKTHIS.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.ni.dk/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMER\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: @msdxmLC.dll,-1@1030,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [WinampAgent] "C:\PROGRAMMER\WINAMP\WINAMPa.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [system] C:\systemsearch.hta
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - Startup: PowerReg Scheduler V3.exe
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {AED98630-0251-4E83-917D-43A23D66D507} (WebHandler Class) - http://activex.microgaming.com/DLHelper/DLHelper.cab
O16 - DPF: ChatSpace Java Client 2.1.0.88L (WebHandler Class) - http://216.65.197.84:8080/Java/cs4msl088.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a224.g.akamai.net/7/224/52/20010620/qtinstall.info.apple.com/qt502/us/win/QuickTimeInstaller.exe
O16 - DPF: {02466323-75ED-11CF-A267-0020AF2546EA} (VivoActive Control) - http://player.vivo.com/ie/vvweb.cab
O16 - DPF: {1C955F3B-5B32-4393-A05D-24B4970CD2A1} (Video Class) - http://stream10k.redhotnetworks.com/cabs/videox.cab
O16 - DPF: lass414 (Video Class) - https://onlinegames2.lasseters.com.au/classes/lass414.cab
O16 - DPF: ConferenceRoom Java Client (Video Class) - http://chat.privatefeeds.com:8000/java/cr.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {C36661D7-3590-45B1-80B5-520839E94DAD} (MaxisSimCity4PatcherX Control) - http://simcity.ea.com/patch/MaxisSimCity4PatcherX.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://simcity.ea.com/patch/EARTPX.cab
O16 - DPF: {D3D83E08-54D1-4E9D-8EAF-9F979D139294} (MaxisSimCityScapeTeleX Control) - http://simcity.ea.com/scape/teleport/MaxisSimCityScapeTeleX.cab
O16 - DPF: {BC18E6DF-BE57-4580-93E8-F228F9A133AA} (MaxisSimCity4LotTeleX Control) - http://simcity.ea.com/exchange/lots/teleport/MaxisSimCity4LotTeleX.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as/asinst.cab

Prøv lige at gå ind i IE og se om der ligger noget under "sider du har tillid til"

Vi har overset denne
O16 - DPF: {1C955F3B-5B32-4393-A05D-24B4970CD2A1} (Video Class) - http://stream10k.redhotnetworks.com/cabs/videox.cab
Afvent lige kigger igen

Der er ingen sider den er tom.

Men nøglen 1C955..... siger mig at den er typisk for spyware.
Husker du at slå systemgendannelse fra og først derefter køre HijackThis og fixe og derefter slå systemgendannelse til igen når du har genstartet. Husker du også at kun browservinduet med hijackThis må være åbent når du fixer.

hmm...

Fluebenet i deaktiveret systemgendannelse har været aktiveret hele tiden når jeg har kørt fix checked.

Nu er jeg blevet lidt forvirret er fremgangsmåden følgende.

1. aktivere fluebenet i deakt. systemgendannelse
2. Kør HiJack og fix check
3. genstart
4. fjerne fluebenet i deakt. systemgendannelse

Som jeg også skrev øverst. Den er kendt og berygtet samt en sej satan at slippe af med, men du mener du har kørt hijackthis korrekt?

Ja, det er måden

fremgangsmåden er ganske rigtig som du lige har beskrevet.

ups

Jeg har hele tiden kørt med aktiveret flueben i deakt. systemgendannelse også efter genstart, men de forskellige fixes er da forsvundet fra listen.

5. Det må så have været en ny genstart.

Jeg håber ikke jeg har ødelagt noget

Ja, lige netop det gør nu heller ikke så meget, men vi har før set ting og sager ske hvis systemgendannelse ikke har været frakoblet og det samme når der er flere browservinduer åbnet medens man fixer. Men jeg ved fra tidligere tilfælde at "Search the web" er svær.

Jep den er tough. Jeg har prøvet og søge på nettet om emnet, men fandt ikke rigtigt noget.

Nej, der står ikke meget nogen steder, men vi kender den da vi har kontakt til andre spywarebekæmpere i USA og Europa

Havde jeg kunne undgå at få den indenfor, hvis jeg havde haft en nyere version af IE?

Ham her havde også problemet
http://www.eksperten.dk/spm/369315
Husk at den hedder searchv (allias Search the web)

Åh nej, ikke Larsoles PC.
Alf27>>Det endte med at jeg måtte køre til Kolding, og få renset ud i hans PC, det tog ca. 4 timer.
Så den er svær, men vi kæmper videre imorgen.

Der er var en enkelt værdi i reg. databasen under local machine\software\microsoft\internetexplorer\search med searchv, som jeg har slettet, men det hjalp heller ikke meget.

fromsej: Ok

http://forums.techguy.org/t140363/sc4b5e9a5a79b488590fc54791cb13435.html
du er ikke alene med den searchv.

Altid rart at man ikke er alene

Desværre synes jeg ikke at der var nogen endelig konklusion på problemet.

Tråden er vist temmelig ny, så giv ikke op, det gør vi ikke endnu.*S*

Du har ret, jeg takker ihvertfald for jeres opbakning :-)

Du kan lige prøve en onlinescan med Bitdefender, den tog en Jetseeker/searchv igår.*S*
http://www.bitdefender.com/bd/scan/licence.php

Jeg har lige overtaget dig fra fromsej som skulle se dyner.

Når du har fixet alt det du har fået besked på skal du genstarte din pc.
Efter at windows er genstartet skal flg. filer slettes:
C:\WINNT\System32\bootconf.exe


Bagefter skal du gå til klassificerede sider og kigge efter Websteder du
har tillid til? da flg. har tendens til at lægge sig der
*.coolwebsearch.com, *.coolwwwsearch.com med flere
De skal slettes selvfølgelig

Hov kom til at ligge det som svar, skal selvfølgelig kun være en kommentar, fromsej og perhaps har gjort langt det meste så det er dem som skal have point. Vi vil alle bare hjælpe dig af med dette skidt.

Jeg har kørt onlinescanen af min harddisk med Bitdefender i nat den fandt 3 inflictet files. Jeg fandt ikke ud af hvilke filer det drejede sig om , men går udfra den har repareret disse filer, da autoclean var aktiveret.

Desværre er search the web ikke forsvundet.

aovergaard: Jeg har WinMe som OS, så jeg har ikke den fil du nævner. Jeg har heller ikke nogen websteder liggende under klassificerede sider.

Vi må se hvad vi videre kan gøre. Vi følger med overalt i Europa og USA og der er store problemer med den Search the web kan jeg godt sige dig. Vi får hele tiden de nyeste info. Og sidste nyt er at man skal holde sin SpywareBlaster opdateret og ligeså IE-Spyad (hvis du kender dem) De holder nu denne satan (undskyld) ude, men kan ikke fjerne den. Vi kommer tilbage i løbet af dagen med sidste nyt.

Takker for indsatsen.

Nej, jeg kender ikke disse programmer, men det kunne være man skulle sætte sig lidt ind i dem.

De er meget nemme og meget effektive. Fylder intet, nemme at opdatere, konflikter ikke med andre programmer, sløver ikke pc'en og er gratis samt lavet af javacool og Eric som vi har kontakt med og kender. Det er meget seriøse og respekterede personer inden for spyware-bekæmpernes kreds. Men vent med det til du har pc-en renset. SpywareGuard bør også benyttes. Hvis du på forhånd vil vide lidt om disse programmer så kan du læse alt om dem under "Værktøjer" på Spywarefri.dk Det er iøvrigt aovergaard som hjælper med her i dit spørgsmål som har lavet de fleste danske installations- og brugerguides til programmerne.

Hmmm er der nogle der kender denne fil.

O4 - HKLM\..\Run: [system] C:\systemsearch.hta

Jeg kan i egenskaber se at den blev oprettet i går formiddag, nogenlunde samme tid som problemerne begyndte. Jeg er dog ikke meget for at slette den, hvis den skulle wære vigtig. Derfor vil det rart, hvis der var nogen som kender filen og kunne fortælle hvad den egentlig laver.

Den fil har jeg ikke kunne finde noget som helst på, gud ved om det er synderen.
Har du ellers installeret noget i går formiddags?
Hvis ikke så kør Hijackthis igen, kan du selv finde det der skal fixes er det godt, ellers smid loggen herind igen, så tager vi den .hta fil med.

O4 - HKLM\..\Run: [system] C:\systemsearch.hta

Den skal fixes. Kan ikke findes som en legal fil og skal derfor væk, og kan meget vel være synderen.

Jeg kan se at du har systemrestore til at køre i din sidste logfil. Du skal jo have systemgendannelse deaktiveret mens du fixer, for ellers kommer de grimme ting jo igen, så det skal slåes fra inden du fixer, og først når din pc er clean kan du slå den til igen.

Ja, den skal fixes. Gad vide hvad den har lavet af ting og sager. Der sker intet ved at fixe den. hta står for: Hypertext application

Ladies and Gentlemen!

The Bug has been exterminated.

Jep, det var den der var den skyldige. Tusind tak til jer som hjalp og til især Perhaps og Fromsej, som jeg gerne vil tildele et par point, hvis i lige melder tilbage med svar.

perhaps: Jeg tror lige jeg kigger nærmere på de programmer du forslog

Godt, den .hta ryger på listen med det samme.
Du skal ikke nøjes med at kigge, du skal installere dem.*S*

Det er en rigtig god idé alf27. Godt det lykkedes til sidst.

Tak for points.

Programmerne er allerede installeret og pointene givet.

Tak for hjælpen.