Spyware problem

Når du er færdig med din hijack log skulle du prøve at installere IEsoyad fra spywarefri.dk, men det er vist bedst at du får en ekspert til at se på loggen

"En ekspert til at se på loggen"? Eh..

Forstår udemærket godt hvad det er Hijack gør.
Prøver lige at finde IEsoyad og se hvad det er for noget :)

Lyder som om du har systemgendannelse på... http://www.spywarefri.dk/virusscannere.htm#alle

eller også har du stadig noget liggende som genopretter de sider. prøv og kør hijackthis igen og læg loggen herind.

Prøv også at fjerne den med: http://www.spywareinfo.com/~merijn/junk/CWShredder.exe

Nemlig... O1 Host er lige blevet oprettet igen.
R1 og R0 plejer også at blive oprettet, men var ikke at se denne gang, men ved de kommer.

log:

O1 - Hosts: 213.159.117.235 auto.search.msn.com
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Program Files\ICQ\NDetect.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [SpywareKilla] "C:\PROGRA~1\SPYWAR~1\SpywareKilla.exe" /s
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38013.2320601852
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3081AB0E-B361-4E83-BC7F-F3694F0E93A6}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{3081AB0E-B361-4E83-BC7F-F3694F0E93A6}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{3081AB0E-B361-4E83-BC7F-F3694F0E93A6}: NameServer = 192.168.0.1
O19 - User stylesheet: C:\WINDOWS\hh.htt (HKLM)

sorry den hedder IE spyad fra "pakken"

Hvis vi skal tjekke loggen for dig, skal vi have hele loggen. Den øverste del med programmerne er ikke komme hed.

Har lige kørt CWSShredder og fik fjernet:
CWS.Msconfd
CWS.Tapicfg
CWS.Svchost32

Genstartede, men O1 Host er der igen!

log:
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\srvany.exe
C:\WINDOWS\system32\resetservice.exe
C:\WINDOWS\system32\Dfssvc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ICQ\NDetect.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Administrator\Desktop\HijackThis.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Administrator\Desktop\HijackThis.exe

O1 - Hosts: 213.159.117.235 auto.search.msn.com
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Program Files\ICQ\NDetect.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [SpywareKilla] "C:\PROGRA~1\SPYWAR~1\SpywareKilla.exe" /s
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38013.2320601852
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3081AB0E-B361-4E83-BC7F-F3694F0E93A6}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{3081AB0E-B361-4E83-BC7F-F3694F0E93A6}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{3081AB0E-B361-4E83-BC7F-F3694F0E93A6}: NameServer = 192.168.0.1
O19 - User stylesheet: C:\WINDOWS\hh.htt (HKLM)

Hmm.. undrer mig over hvad "srvany.exe" er?

ja*S*

Der var en del snavs:
Du skal nu til at i gang med at fixe. Men først skal du lige have noget instruktion. Allerførst skal du slå systemgendannelse fra. Hvis du ikke ved hvordan du gør det så kig her: http://www.arlet.dk/systemgendannelsen.htm derefter skal du åbne hijackthis. Du får herunder nogle filer som du skal fixe, det du skal gøre er at sætte en vinge ud for disse filer jeg har skrevet nedeunder. IKKE FIXE endnu. Når du har gjort det så lukker du alle andre vinduer ned, det er meget vigtigt at det eneste vindue som er åbent er HijackThis vinduet. Husk også at lukke dette vindue når du har markeret filerne. Nu må du fixe. Klik på Fix chekede. Efter fix skal du genstarte din computer.
Her er de filer, du skal fixe :

O1 - Hosts: 213.159.117.235 auto.search.msn.com
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O19 - User stylesheet: C:\WINDOWS\hh.htt (HKLM)

Derefter genstarter du og sender en ny log herind, for at se om vi har fået den helt ren.
Først når din log er endelig godkendt, må du aktiver din systemgendannelse igen.

Den er god nok. srvany.exe = http://www.tburke.net/info/reskittools/topics/srvany.htm

brug spybot og ad-aware - du kan få dem på www.download.com
så kommer du af med det.

ups glemte at du havde brugt spybot :-> brug ad-aware det fjerner også adware

Køre Win2003, så har ikke systemgendannelse, men prøver lige at fjerne de keys.

Cult3D er en movieplayer og ikke spyware, tjek:
http://www.nokia.dk/phones/3100/demo.php
nederst ;)

Men prøver at fjerne O1 Host endnu en gang (efter mange forsøg)
og O19 User Stylesheet...

ja, kender godt den movieplayer. Det er heller ikke programmet, der bliver fjernet. Den lægger en ActiveX der kan være skadelig, derfor fjerner vi den. Programmet fungere perfekt, efter du fjerner den

hashkagen> har også brugt ad-aware, fjerner det ikke nej :P

Det lyder mærkeligt at cwshredder ikke fjerne de sidste 2. Det skal den. Så hvis de ikke er væk, skal du lige prøvet cws igen

æv!!! hmmm DREAM ON HASH...

arlet> Ser ud til lortet er væk :)
Smid et svar ;)

log:
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\srvany.exe
C:\WINDOWS\system32\resetservice.exe
C:\WINDOWS\system32\Dfssvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\ICQ\ICQ.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Documents and Settings\Administrator\Desktop\HijackThis.exe

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Program Files\ICQ\NDetect.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpywareKilla] "C:\PROGRA~1\SPYWAR~1\SpywareKilla.exe" /s
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38013.2320601852
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3081AB0E-B361-4E83-BC7F-F3694F0E93A6}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{3081AB0E-B361-4E83-BC7F-F3694F0E93A6}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{3081AB0E-B361-4E83-BC7F-F3694F0E93A6}: NameServer = 192.168.0.1

Det var godt. Var det hijackthis eller cwshredder??

det var efter jeg fik slettet O19 - User stylesheet: C:\WINDOWS\hh.htt (HKLM) u hijackthis :)

Fornemt. men cwshredder skulle have haft taget den.

Jep, gjorde den bare ikke, selvom jeg genstartede... Nå nu ved jeg hvad prob er til en anden gang :)