Fjernelse af Kleiz

Vi prøver med en hijackthis
Hent hijackthis : http://www.spywarefri.dk/vaerktoj.htm#hijackthis
direkte link :         http://www.merijn.org/files/HijackThis.exe

den udpakker du og kører Hijackthis, scan, save log og kopier logfilen herind, så kigger vi på den.

DU MÅ IKKE FIXE NOGET SELV. NÅR VI HAR TJEKKET LOGGEN IGENNEM FORTÆLLER VI DIG HVAD DER SKAL SLETTES...

Manual for installering af hijackthis:
http://www.spywarefri.dk/hijackthis.man.htm

Jeg går ud fra du mener Klez.

Læs denne: http://securityresponse.symantec.com/avcenter/venc/data/w32.klez.e@mm.html

Du kan fjerne klez med dette removal tool: http://securityresponse.symantec.com/avcenter/venc/data/w32.klez.removal.tool.html

Fungerer det ikke, står en manuel removal beskrevet i det første link. Men den bør kun bruges som nødløsning.

Arlet, i dette tilfælde forstår jeg ikke helt, hvordan du kan anbefale hijackthis log gennemgang. Det er vist at skyde med spredhagl efter et ret konkret problem.

Sørg desuden for at have noget ordenligt antivirussoftware installeret. Spybot må IKKE forveksles med et stykke antivirus software.

Logfile of HijackThis v1.97.7
Scan saved at 15:16:58, on 19-01-2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\Winkrui.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\SK-1300\mmkeymanager.exe
C:\WINDOWS\SOINTGR.EXE
C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmer\QuickTime\qttask.exe
C:\WINDOWS\systemdll.exe
C:\Programmer\WinZip\WZQKPICK.EXE
C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Ejer\Skrivebord\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ofir.dk/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://server224.smartbotpro.net/7search/?003
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default-homepage-network.com/start.cgi?hklm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://server224.smartbotpro.net/7search/?hklm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.msn.dk/Default.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: Clear Search - {00000000-0000-0000-0000-000000000240} - C:\Programmer\ClearSearch\IE_ClrSch.DLL
O2 - BHO: (no name) - {00000EF1-0786-4633-87C6-1AA7A44296DA} - (no file)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [AmitechKeyboard] C:\Programmer\SK-1300\mmkeymanager.exe
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [BELUBC] C:\WINDOWS\BELUBC.exe
O4 - HKLM\..\Run: [WebSavingsfromEbates] javaw -cp "C:\Programmer\WebSavingsfromEbates\System\Code" Main lp: "C:\Programmer\WebSavingsfromEbates"
O4 - HKLM\..\Run: [iamapp] rundll32.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [systemdll] C:\WINDOWS\systemdll.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Norton Internet Security.lnk = C:\Programmer\Norton Internet Security\IntroWiz.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmer\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab
O16 - DPF: {00000EF1-0786-4633-87C6-1AA7A44296DA} - http://www.netpaloffers.net/NetpalOffers/DMO1/x3ro1.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {486E48B5-ABF2-42BB-A327-2679DF3FB822} - http://akamai.downloadv3.com/binaries/IA/ia_XP.cab
O16 - DPF: {53B3ABEA-4445-44D9-A01E-088144CAABD9} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/da/filesharingctrl.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/1433e120947530e5c219/netzip/RdxIE601.cab
O16 - DPF: {841A9192-5690-11D4-A258-0040954A01BE} (DialXSCtl Object) - http://dialxs.nl/install/dialxs.ocx
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://www.axis.com/products/camera_servers/AxisCamControl.ocx
O16 - DPF: {94742E3F-D9A1-4780-9A87-2FFA43655DA2} - http://akamai.downloadv3.com/binaries/DialHTML/EGDHTML_pack_XP.cab
O16 - DPF: {D1B80EBF-1A26-4FEC-B0B9-DCB934C6507E} (Loader Class) - http://dialup.carpediem.fr/CABS/cd/1,0,3,8/us/AccesMembre.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab

hvad skal der fjernes??

man kan forresten ikke trykke CTRL+ALT+DEL... Det sker der ikke noget ved..

og ja, det var den der Klez

download den removal tool jeg linkede til. Genstart din maskine til fejlsikret tilstand, og kør removal tool'en efter de anvisninger der er i linket :)

er i gang.. Det tager bare 100 år for den at blive færdig. ;)

startop i fejlsikret og slet disse:
C:\WINDOWS\System32\Winkrui.exe
C:\WINDOWS\systemdll.exe

genstart og ny log

indtil videre, har den der removal tool fået det fjernet.. og den køre.. så måske er det ikke nødvendigt det sidste der..

C:\WINDOWS\systemdll.exe er en keylogger, så den ville jeg nok anbefale dig at få fjernet

Det er nanoq, der skal have point, for det helt rigtige svar, men skal vi ikke lige få ordnet de par småting i hijackthis

Jeg smider lige et svar :)

Men kør arlet's forslag igennem. For der er mere snavs på sit system, som ikke lige har noget med Klez at gøre :)

Hi guys..

Jeg synes bare I har været rigtig goe, og I har fulgt mig på vejen til at få det fjernet. Min computer virker nu igen, pga. de ting I har fulgt mig til at gøre..
Så derfor beder jeg jer begge smide et svar, og så deler jeg pointsne til jer..

giv du bare nanoq pointene for det rigtige svar..