spam aim og andre programmer

Hent en hijackthis : http://www.arlet.dk/hjt.htm

så skal vi nok fortælle dig hvad der skal slettes

Logfile of HijackThis v1.97.7
Scan saved at 16:54:14, on 22-06-2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\TGTSoft\StyleXP\StyleXP.exe
C:\Programmer\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programmer\Winamp\winamp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\Programmer\Rockstar Games\Max Payne 2\hjt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://best-search.cc/search.php?v=6&aff=4483370
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://best-search.cc/index.php?v=6&aff=4483370
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://best-search.cc/index.php?v=6&aff=4483370
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mysearchnow.com/searchbar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://mysearchnow.com/searchbar.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://mysearchnow.com/searchbar.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *hot-searches.com*;*lender-search.com*
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O1 - Hosts file is located at: C:\WINDOWS\nsdb\hosts
O1 - Hosts: 81.211.105.69 lender-search.com
O1 - Hosts: 81.211.105.68 hot-searches.com
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programmer\QuickSearch\QuickSearchBar1_27.dll (file missing)
O2 - BHO: (no name) - {E58DDA2B-1778-84A1-4BD3-137EAC00DA7C} - C:\PROGRA~1\SPAMAI~1\Hide Scr.dll (file missing)
O3 - Toolbar: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programmer\QuickSearch\QuickSearchBar1_27.dll (file missing)
O3 - Toolbar: data htm stupid - {00A7A9F3-85E8-9C23-28CC-7762CB49129B} - C:\PROGRA~1\SPAMAI~1\Hide Scr.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [WinampAgent] C:\Programmer\Winamp\winampa.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmer\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [rectthat] C:\PROGRA~1\flapcorn\clockreal.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programmer\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [STYLEXP] C:\Programmer\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmer\MSN Messenger\msnmsgr.exe" /background
O4 - HKLM\..\RunOnce: [tlc] C:\WINDOWS\update13.js
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040427/qtinstall.info.apple.com/saba/us/win/QuickTimeInstaller.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Hent og kør CWSHredder herfra: http://www.arlet.dk/special.htm
genstart og ny hijackthis log

Start med cwshredder. Derefter er der en del mere vi skal have væk.

husk at komme med en ny hijackthis efter du har kørt cwshredder

hver gang jeg prøver at enter din side, siger den programmet har udført en ulovlig handling osv osv. Kan du ikke give mig et direkte link?

Hvis du er blevet angrebet af CoolWebSearch eller en af dens varianter, så hent CWSHredder: http://www.spywareinfo.com/downloads/tools/CWShredder.exe
Tryk på linket og tryk Åbn. Som det første skal du lige trykke på check for update så skal du lukke alle åbne vinduer, fornær CWSHredder, klik på Fix, den scanner nu, når den er færdigt klik på Next, til sidst klik på Exit.
Genstart

dødt link

Prøv dette:
www.arlet.dk/cwshredder.exe

har lige gjort som du sagde og det virkede.. Mange tak! lav et svar for point

genstart og ny hijackthis log

Du har mere snavs på computeren

okay... men hvor ligger den der hijackthis nu?

kan se at du har fået den lagt her:
C:\Programmer\Rockstar Games\Max Payne 2\hjt.exe

ellers henter du bare en ny fra øverste link

ogfile of HijackThis v1.97.7
Scan saved at 17:22:05, on 22-06-2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Winamp\winampa.exe
C:\Programmer\Messenger Plus! 3\MsgPlus.exe
C:\Programmer\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\TGTSoft\StyleXP\StyleXP.exe
C:\Programmer\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\Programmer\Winamp\winamp.exe
C:\Programmer\Rockstar Games\Max Payne 2\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.juventuz.dk/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *hot-searches.com*;*lender-search.com*
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programmer\QuickSearch\QuickSearchBar1_27.dll (file missing)
O2 - BHO: (no name) - {E58DDA2B-1778-84A1-4BD3-137EAC00DA7C} - C:\PROGRA~1\SPAMAI~1\Hide Scr.dll (file missing)
O3 - Toolbar: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programmer\QuickSearch\QuickSearchBar1_27.dll (file missing)
O3 - Toolbar: data htm stupid - {00A7A9F3-85E8-9C23-28CC-7762CB49129B} - C:\PROGRA~1\SPAMAI~1\Hide Scr.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [WinampAgent] C:\Programmer\Winamp\winampa.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmer\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [rectthat] C:\PROGRA~1\flapcorn\clockreal.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programmer\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [STYLEXP] C:\Programmer\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmer\MSN Messenger\msnmsgr.exe" /background
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040427/qtinstall.info.apple.com/saba/us/win/QuickTimeInstaller.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

hva så nu??

2 minutter, så er jeg klar med hvad som skal væk

Flyt først filen Hijackthis til en mappe oprettet kun til den.

Du skal nu til at i gang med at fixe:

Deaktiver systemgendannelse:
http://www.arlet.dk/systemgendannelsen.htm

Kør Hijackthis, scan, sæt flueben ved linierne listet her, luk alle vinduer undtaget Hijackthis, klik på fix checked, luk hijackthis igen.
Dobbelttjek, så alt kommer med.


R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *hot-searches.com*;*lender-search.com*

O2 - BHO: (no name) - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programmer\QuickSearch\QuickSearchBar1_27.dll (file missing)
O2 - BHO: (no name) - {E58DDA2B-1778-84A1-4BD3-137EAC00DA7C} - C:\PROGRA~1\SPAMAI~1\Hide Scr.dll (file missing)

O3 - Toolbar: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programmer\QuickSearch\QuickSearchBar1_27.dll (file missing)
O3 - Toolbar: data htm stupid - {00A7A9F3-85E8-9C23-28CC-7762CB49129B} - C:\PROGRA~1\SPAMAI~1\Hide Scr.dll (file missing)

O4 - HKLM\..\Run: [rectthat] C:\PROGRA~1\flapcorn\clockreal.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime



Derefter genstarter du og sender en ny log herind, for at se om vi har fået den helt ren.
Først når din log er endelig godkendt, må du aktiver din systemgendannelse igen.

Kan stadig ikke gå ind på din side uden den siger jeg har lavet en ulovlig handling..
hva gør jeg?

ang systemgendannelsen:
Højreklik på Denne Computer på skrivebordet, vælg Egenskaber og fanebladet Systemgendannelse og sæt flueben i Deaktiver systemgendannelse. Klik ok og genstart.

takker endnu engang :D