Spywear: CoolWebSearch? Hjælp, jeg er i nød..

Jeg havde den også for nogen tid siden.. JEg forsøgte diverse Spyware-removal-programs, men uden held. Men efter lidt søgen rundt omkring, fandt jeg følgende mappe:
C:\Windows\System32\services\ som indeholdt en wmplayer.exe-fil. Og det er den der er inficeret. Jeg slettede den, og siden har Windows Media Player ikke virket.. Men hey, Cool Web Search forsvandt, og jeg kunne atter selv bestemme min start-side! :-)

Det er løgn, jeg fandt faktisk et program til at fjerne den.. Det andet var vist noget andet...
Jeg fandt programmer her:

http://www.spywareinfo.com/~merijn/cwschronicles.html og det hedder CWShredder. :-) Det virkede. :-)

Direkte link til filen: http://www.spywareinfo.com/~merijn/files/cwshredder.zip

Fåes også på www.arlet.dk under "Special værktøjer".

Hej, jeg takker for jeres svar. Men hvis i læser mit indlæg igen, kan i se at jeg allerede har prøvet at køre cwsshredder, desværre uden held.
Kunne godt tænke mig at nogle kiggede min hijackthis igennem, og kom med andre bud på hvordan jeg kan fixe problemet.

Den der kommer med et svar der virker, får mine point ;-)

Jeg synes ikke at denne ser for legal ud:
O4 - HKLM\..\RunServices: [System Integrity Checker] rarmon.exe

Og jeg kan ikke finde noget, på "rarmon.exe"

- Deaktiver systemgendannelse:
Højreklik på "Denne Computer" på skrivebordet, vælg egenskaber og fanebladet "Systemgendannelse" og sæt flueben i "Deaktiver systemgendannelse". Klik ok og genstart.

- I HijackThis: sæt hak ud for denne linie, luk alle vinduer pånær HijackThis, og klik fix:
O4 - HKLM\..\RunServices: [System Integrity Checker] rarmon.exe

- Genstart, og kør CWSShredder. Derefter en ny log.

Det kan kun være rarmon.exe der er problemet - der er ikke andet i den log.

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
Der ligger problemet.
Brug CWShredder igen, men følg denne vejledning.
Kør programmet, tjek for updates, afbryd din internetforbindelse fysisk(stikket ud), deaktiver ALLE sikkerhedsprogrammer, luk alle vinduer undtaget cwshredder, klik på Next, den scanner nu, når den er færdig klik på Fix, klik på Exit.
Derefter genstart, og en ny hijackthislog.
Husk at genaktivere dine sikkerhedsprogrammer inden du går på nettet.

Prøv en tur med Regedit.
Klik på Start->Kør skriv regedit og klik OK.
Du får et vindue lidt ligesom stifinder.
Klik dig frem til:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
Tjek om der ligger en nøgle/tekst der hedder "HOMEOldSP", gør der det slet den.
Klik så på "Denne computer" i Regeditvinduet, derefter på "Redigér->Søg" skriv "Homeoldsp" klik på "find næste" slet det den finder og tryk på <F3> slet, <F3> til du får at vide at søgningen er afsluttet.
Samme fremgangsmåde med søgeordet About:blank.

Derefter genstart, og en ny hijackthislog.
Husk at genaktivere dine sikkerhedsprogrammer inden du går på nettet.

Hej igen,

fromsej, jeg takker.. MEN, problemet er ikke blevet løst selvom jeg brugte din fremgangsmåde. Nu er det blot blevet værre, nu er det ikke blot reklame der popper op. Men op til flere vinduer smækfyldt med porno. Jeg poster her en ny hijackthis log:

Logfile of HijackThis v1.97.7
Scan saved at 10:41:34 AM, on 1/27/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Microsoft Hardware\Mouse\point32.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\DOCUME~1\NS\LOCALS~1\Temp\iinstall.exe
C:\Program Files\ISTsvc\istsvc.exe
C:\Program Files\Internet Optimizer\optimize.exe
C:\Program Files\Internet Optimizer\actalert.exe
C:\Program Files\ClockSync\Sync.exe
C:\WINDOWS\System32\cccjwa.exe
C:\Documents and Settings\NS\Desktop\Junkyard Kingdom\hjt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_page.html?&account_id=143961
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.couldnotfind.com/search_page.html?&account_id=143961
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.slotch.com/?&account_id=143961
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_page.html?&account_id=143961
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.nvidia.com/object/3dstereo_45.23
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINDOWS\wsem218.dll
O2 - BHO: (no name) - {F7F808F0-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem218.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Program Files\ISTbar\istbar.dll
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [afxqcxdr] C:\WINDOWS\System32\cccjwa.exe
O4 - HKLM\..\Run: [Power Scan] C:\Program Files\Power Scan\powerscan.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [ClockSync] C:\Program Files\ClockSync\Sync.exe
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38145.0697916667

jeg ville formatere harddisken :P

Det ville jeg også gøre, hvis ikke det var for alle de vitale dokumenter og filer jeg havde liggende herpå. Og da jeg ikke er i besiddelse af en brænder, og heller ikke kan installere en (grundet kabinet, som er et 'liggende' Dell kabinet) er jeg nødt til at få styr på det her problem.

På forhånd tak,

mvh
Niels

Jeg glemte helt at nævne, at startsiden ikke længere er den samme. Nu har den ændret sig til noget der hedder "Smartsearch".. hvad end det er, har det nogenlunde den samme funktion som det andet, nemlig at gøre livet surt for mig.
I adressefeltet står der stadig About:blank

Mvh
niels

En formatering er ikke på tale her, vi skal nok få den ren.

Fromsej, det er jeg meget glad for at høre.. men hvad gør jeg? Jeg har i mellemtiden, siden jeg postede den sidste log, forsøgt mig adskillige gange med diverse programmer.. Det har ikke ændret noget, dog ser loggen nu anderledes ud.. Jeg poster den her:

Logfile of HijackThis v1.97.7
Scan saved at 5:19:10 PM, on 1/27/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Microsoft Hardware\Mouse\point32.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Documents and Settings\NS\Desktop\Junkyard Kingdom\hjt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\ojacpa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\ojacpa.dll/sp.html (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\ojacpa.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\ojacpa.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\ojacpa.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\ojacpa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {8EA1DAA4-342D-40B2-B2AE-B9E2B7353146} - C:\WINDOWS\System32\ojacpa.dll
O4 - HKLM\..\Run: [POINTER] point32.exe
O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F82-00104B107C96}

Hmm, nu havde jeg ellers en løsning klar til den anden, men jeg kan godt se du har den rigtig onde CWS, så vi prøver den knaldhårde.
1. Download og installer følgende programmer:

Reglite - http://www.resplendence.com/reglite
Adaware - http://www.lavasoft.de/support/download/
SpyBot S&D - http://www.safer-networking.org/index.php?lang=en&page=download

2. Download og placer programmerne her i deres egne mapper:

CWShredder - http://www.spywareinfo.com/downloads/tools/CWShredder.exe
TheKillBox - http://home8.inet.tele.dk/fbj/TheKillBox.exe

3. Kør Reglite og skriv

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs

ind i "Adress" feltet, tryk <Enter>.

4. Dobbeltklik på AppInit_DLLs for at åbne "Data Editor", hvis det nederste felt kaldet "Value" indeholder en .dll fil er det den vi leder efter.

5. Den kan ikke slettes endnu, skriv stien og navnet ned på et stykke papir, det skal bruges senere.

6. I venstre vindue, højreklik på mappen "Windows"(Den er fremhævet med lilla), vælg "Rename" og omdøb den til "Notwindows".

7. Klik på AppInit_DLLs igen, slet værdien der indeholder .dll'en klik OK, så burde den være væk.

8. Omdøb "Notwindows" tilbage til "Windows"

9. Kør Spybot, Ad-aware og CWShredder, husk at opdatere online inden du kører programmet.

10. Nu er det tid til at slette den .dll fil.

11. Kør TheKillBox (skal være pakket ud til sin egen mappe). I tekstfeltet skriver du stien til den fil du skrev ned tidligere (eksempelvis c:\windows\system23\dllha.dll). Nu skal du vælge Action -> Delete on reboot. Nu dukker der et lille vindue op - vælg File -> Add file. Vælg Action -> Process and reboot

12. Genstart din PC i Fejlsikret tilstand (ved at taste F8 under opstart). Kør Spybot, Ad-aware og CWShredder igen. Genstart i Normal mode og læg en frisk HijackThis log herind.
______________________________________________

Hvis pkt. 11 ikke virker: Gå i Start -> Kør og skriv cmd og klik OK. Du er nu i et DOS-vindue. Skriv attrib -r "stien til filen du skal slette" (eksempelvis attrib -r c:\windows\system23\dllha.dll)

Gentag pkt. 11 - 12.

Hej fromsej, det lader til at have virket.. men det skulle eftersigende være svært at sige, da det efter hvad jeg har hørt kan komme igen efter 2-3 reboots.

Men min log ser nu således ud:
Logfile of HijackThis v1.97.7
Scan saved at 6:34:52 PM, on 1/27/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Microsoft Hardware\Mouse\point32.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Documents and Settings\NS\Desktop\Junkyard Kingdom\hjt.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1.3\SDHelper.dll
O4 - HKLM\..\Run: [POINTER] point32.exe
O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F82-00104B107C96}

Er jeg clean nu? :)

NEJ, NEJ... NEJ!

Nu har jeg genstartet endnu engang.. og det er tilbage.. :(

Se den nyeste log efter genstart:

Logfile of HijackThis v1.97.7
Scan saved at 6:50:35 PM, on 1/27/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Microsoft Hardware\Mouse\point32.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Winamp\winamp.exe
C:\Documents and Settings\NS\Desktop\Junkyard Kingdom\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O1 - Hosts: 213.159.117.235 auto.search.msn.com
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1.3\SDHelper.dll
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F82-00104B107C96}

Kør Hijackthis igen, scan og sæt flueben ved de linier her:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O1 - Hosts: 213.159.117.235 auto.search.msn.com
O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F82-00104B107C96}
Klik på fix checked, og genstart.
Du mangler en masse i den log, men det må vi genskabe, hvis du har backupfilerne stadigvæk.

Mange tak, det ser ud til at virke nu. (håber jeg..)

Jeg har backupfilerne, men der er mange (!) og de har alle forskellige numre. Jeg aner ikke hvilken der er den rette?

Det kan også være fordi jeg (dum som jeg er) slettede nogle ting i regedit tidligere, jeg slettede de ting jeg ikke mente var 'legale', men var måske lidt naivt gjort.

En anelse.*S*
Men lad os se om ikke vi kan redde noget af det.
Kør Hijackthis igen, denne gang klikker du på Config->Backups , her vil de linier du skal gendanne forhåbentlig befinde sig, marker dem enkeltvis og klik på Restore.
Det er disse linier:
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Power Scan] C:\Program Files\Power Scan\powerscan.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38145.0697916667

fromsej> icq, nu

niels_kid> sorry for spam - håber det er ok?

ICQ er åben.

jeg takker mange gange for hjælpen fromsej!

Det var desværre kun muligt at finde O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

Resten var ikke i backup..

Velbekomme, tak for point. :o)