Mærkelig virus

Du er blevet hijacket.

For at løse problemet skal du hente 2 programmer.

Først spybot : http://www.spywarefri.dk/vaerktoj.htm#spybot
direkte link : http://download.com.com/3000-2144-10122137.html?part=104443&subj=dlpage&tag=button

Installer og kør Spybot, opdater online, scan, afhjælp valgte problemer, derefter genstarter du

Derefter hijackthis : http://www.spywarefri.dk/vaerktoj.htm#hijackthis
direkte link :           http://www.webattack.com/get/hijackthis.shtml

den udpakker du og kører Hijackthis, scan, save log og kopier logfilen herind, så kigger vi på den.


DU MÅ IKKE FIXE NOGET SELV. NÅR VI HAR TJEKKET LOGGEN IGENNEM FORTÆLLER VI DIG HVAD DER SKAL SLETTES...


Manual for installering af hijackthis:
http://www.spywarefri.dk/hijackthis.man.htm

Jeg finder det med hijackthis.

Følg vejledningen overfor så er jeg helt sikker på at vi nok skal få dig ren

Det er helt rigtigt at den scvhost.exe skal fjernes, men der ligger også noget andet et andet sted..

ok, er i gang med at søge med spybot

Alt hvad den finder med rødt er snavs og det bliver vinget automatisk af til slut, så trykker du på afhjælp valgte problemer.

Her kommer logfilen:

---------------------------------------

Logfile of HijackThis v1.97.3
Scan saved at 12:37:12, on 06-11-2003
Platform: Windows 2000  (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\Navnt\defwatch.exe
C:\WINNT\System32\svchost.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\PROGRA~1\Navnt\rtvscan.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.exe
C:\PROGRA~1\Navnt\vptray.exe
C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb02.exe
C:\WINNT\System32\internat.exe
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\Navnt\vpexrt.exe
C:\PROGRA~1\WINZIP\wzqkpick.exe
\Fil-srv\programs\Martin\Hijack\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.dk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.dk
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: @msdxmLC.dll,-1@1030,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\Navnt\vptray.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb02.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: LokalnummerStatus.lnk = C:\Programmer\AlchemyUser\Phone Status\userapp.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmer\WinZip\WZQKPICK.EXE
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.msn.dk
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.dk
O16 - DPF: {0D06CDB2-163D-46FD-94B7-BD3B1D69F846} (WDX.WDX_Main) - https://www.web-direct.dk/WDX.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {FF2ED99D-13F1-460A-9A8F-C1A876B62D37} (WDX.WDX_Main) - https://www.web-direct.dk/WDX.CAB
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = hoffmann-as.dk
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = hoffmann-as.dk
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = hoffmann-as.dk

------------------------------------

Jeg løber den lige igennem...

Spybot fandt en hel masse, som jeg bad den fjerne, og det ser ud til at computeren virker nu...

Men hvordan kommer alle disse programmer ind på computeren??? Denne com. jeg sidder ved nu bruges af min far, som kun bruger e-mail, word og internet til at se nyheder og kurser. Han downloader aldrig programmer ol...

Spybot har gjort sit arbejde, der var ikke meget tilbage til mig*S*

Der var lidt snavs:
Du skal nu til at i gang med at fixe. Men først skal du lige have noget instruktion. Du skal åbne hijackthis. Du får herunder nogle filer som du skal fixe, det du skal gøre er at sætte en vinge ud for alle disse filer. IKKE FIXE endnu. Når du har gjort det så lukker du alle andre vinduer ned, det er meget vigtigt at det eneste vindue som er åbent er HijackThis vinduet. Husk også at lukke dette vindue når du har markeret filerne. Nu må du fixe. Klik på Fix chekede. Efter fix skal du genstarte din computer.
Her er de filer, du skal fixe :


O4 - HKCU\..\Run: [internat.exe] internat.exe


Derefter Genstarter du i fejlsikret tilstand(Fejlsikret tilstand kommer du i ved at trykke på <F8> når maskinen starter op, lige inden den begynder at indlæse Windows.) Find følgende fil i Stifinder og slet den:


C:\WINNT\System32\internat.exe


Derefter genstarter du og sender en ny log herind, for at se om vi har fået den helt ren.

Vi skal lige have dig hel ren først, derefter skal jeg nok fortælle dig lidt om hvad der skal installeret af gratis programmer, for at der ikke kommer snavs på computeren.

Men når du har fixet det der, så genstart og ny log, så jeg kan se at du er ren.

Der er 5 der hedder O4, skal de alle slettes, eller kun den med internat.exe?

ved nærme overvejelse er der faktisk 7...

KUN den jeg har skrevet

Hele denne log er fyldt med legale ting, der er både systemfiler og programmer og meget mere, inde i blandt det legale prøver snavset sig at gemme sig.. Derfor skal man ikke selv slette noget med hijackthis, da en enkelt forkert fil kan betyde format c:

Logfile of HijackThis v1.97.3
Scan saved at 13:05:13, on 06-11-2003
Platform: Windows 2000  (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\Navnt\defwatch.exe
C:\WINNT\System32\svchost.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\PROGRA~1\Navnt\rtvscan.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.exe
C:\PROGRA~1\Navnt\vptray.exe
C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb02.exe
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\Navnt\vpexrt.exe
\Fil-srv\programs\Martin\Hijack\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.dk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.dk
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: @msdxmLC.dll,-1@1030,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\Navnt\vptray.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb02.exe
O4 - Global Startup: LokalnummerStatus.lnk = C:\Programmer\AlchemyUser\Phone Status\userapp.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.msn.dk
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.dk
O16 - DPF: {0D06CDB2-163D-46FD-94B7-BD3B1D69F846} (WDX.WDX_Main) - https://www.web-direct.dk/WDX.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {FF2ED99D-13F1-460A-9A8F-C1A876B62D37} (WDX.WDX_Main) - https://www.web-direct.dk/WDX.CAB
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = hoffmann-as.dk
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = hoffmann-as.dk
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = hoffmann-as.dk

Men hvordan ved jeg en anden gang hvad der skal slettes fra hijack?? Vi har jo 35 com. i huset, og der er allerede flere med de samme problemer...

Hvad med det andet program, spybot. Er det altid sikkert at lade det afhjælpe programmerne??

Det tager meget lang tid og lærer hvad der skal slettes i en hijackthis og meget øvelse..
Herhjemme i dk er der måske 10 personer, der kan tjekke sådan en log ordentligt og de fleste gør det for virksomheder i deres fritid, dog ikke gratis som her.

Spybot kan du godt selv bruge og slette hvad den finder af røde filer...

Hvis du har flere spørgsmål, spørger du bare igen


Du er ren nu

først skal du ind og hente opdateringer til windows og din IE

Hent sp4 til windows og IE6 sp1 til dit IE, hent det her http://www.it-service.sdu.dk/vis.php?side=84

Derefter:

For at sikre din fremtidige færden på nettet vil jeg foreslå at du henter følgende programmer :
Spywareblaster & Spyguard & IE-SPYAD & Empty Temp Folders & Ad-aware

Alle programmerne finder du her http://www.spywarefri.dk/vaerktoj.htm

Hvor der også er en beskrivelse af programmet, samt en installations vejledning..

Alt sammen skal løbende opdateres, ligesom dit windows og IE..

Derefter kan du trygt surfe på nettet, uden at få alt det snavs på computeren.

Iøvrigt er det fint nok at slette med spybot, men hvis maskinen er meget snavset, skal det renses fuldstændigt, ellers kommer det igen ligeså hurtig som det kom...

Men du er ren med denne computer og installer du de programmer, jeg foreslo ovenover, så kommer der ikke snavs ind på denne computer mere..

Ok, jeg kigger på det. Tak for hjælpen indtil videre. :-)

Velbekommen og tak for point*S*

Som sagt har vi mange computere, så hvis jeg udover at holde win og ie opdaterede, skal installere ét af de programmer du nævnte til at sørge for der ikke kommer spyware igen, hvilket skal jeg så vælge.

For at være helt sikker, skal du installer den pakke jeg nævnte højere oppe, så er du sikker

ja...men problemet er at det vil tage en krig at installere dem alle sammen, på alle computere...så derfor nøjes jeg bare med at installere et af dem...

Men findes der virkelig ikke et program som både kan holde spyware mm. væk, og scanne for virus. Er der ikke nogle af de store firmaer der har sådanne pakker? Det hele ville være lidt nemmere, hvis kun man skulle installere et program, der kunne klare det hele.

Det er jeg næsten sikker på at der ikke er, men prøv hos de forskellige firmaer