Søg
Avatar billede drinkit Praktikant
30. juni 2004 - 13:59 Der er 8 kommentarer og
1 løsning

Jeg har fået Spyware..

Jeg har fået spyware ind efter jeg har downloaded forskellige ting.
Jeg har kørt ad aware, den finder en masse filer og sletter dem, men det hjælper hat. jeg har også opdateret ad aware, jeg har lige kørt HijackThis.. den finder en masse skidt.
Her er min Hijackthis log:

Logfile of HijackThis v1.97.7
Scan saved at 13:54:36, on 30-06-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Dell\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\ntyu32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\winjr32.exe
C:\Programmer\Dell\Bluetooth Software\BTTray.exe
C:\PROGRA~1\Dell\BLUETO~1\BTSTAC~1.EXE
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\Mikael van Ark\Skrivebord\hijackthis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\twabm.dll/sp.html#37680
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://twabm.dll/index.html#37680
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://twabm.dll/index.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\twabm.dll/sp.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://twabm.dll/index.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\twabm.dll/sp.html#37680
O2 - BHO: (no name) - {44E45869-432D-7E42-D253-048EAF61F303} - C:\WINDOWS\system32\appre.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RDLL] RunDll16.exe
O4 - HKLM\..\Run: [winjr32.exe] C:\WINDOWS\winjr32.exe
O4 - HKLM\..\RunServices: [RDLL] RunDll16.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programmer\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKLM\..\RunOnce: [d3us.exe] C:\WINDOWS\system32\d3us.exe
O4 - HKLM\..\RunOnce: [apiwr.exe] C:\WINDOWS\apiwr.exe
O4 - HKLM\..\RunOnce: [atlqs.exe] C:\WINDOWS\system32\atlqs.exe
O4 - HKLM\..\RunOnce: [d3lo32.exe] C:\WINDOWS\d3lo32.exe
O4 - HKLM\..\RunOnce: [netcq.exe] C:\WINDOWS\netcq.exe
O4 - HKLM\..\RunOnce: [d3ge.exe] C:\WINDOWS\system32\d3ge.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programmer\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Enqueue in Star Downloader - C:\Programmer\Star Downloader\sdieenq.htm
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://fpdownload.macromedia.com/pub/shockwave/cabs/director/swdir.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {8EDAD21C-3584-4E66-A8AB-EB0E5584767D} - http://toolbar.google.com/data/GoogleActivate.cab
O16 - DPF: {90A29DA5-D020-4B18-8660-6689520C7CD7} (DmiReader Class) - http://support.euro.dell.com/global/apps/systemprofiler/PROFILER.CAB
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38059.4559375
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Udover det kan jeg se, når jeg går ind under kontrol panel, og afinstallering af programmer, at jeg har tre programmer, og når jeg trykker "Fjern" siger den at den ikke kan finde uninstall.exe filen, så programmet ikke kan fjernes. Jeg har prøvet at checke de "filer" i hijackthis som der ikke skal være der, men de kommer igang ligeså snart jeg åbner IE. Jeg kører win XP prof og programmerne der kører i baggrunden på min pc hedder henholdsvis: winjr32.exe og ntyu32.exe - Det er to programmer jeg kan se på listen når jeg trykker ctrl + delete, som jeg aldrig har set før!

hvilket program skal jeg installere eller hvad skal jeg fjerne for at få min computer til at blive rask.
De største problemer ved denne spyware er at min startside konstant ændres, og min IE generelt opføre sig mærkeligt og er meget langsom!
Avatar billede andersenph Nybegynder
30. juni 2004 - 14:01 #1
Jeg tyder lige logfilen og kommer med hvad du skal fixe og på hvilken måde om 5 minutter :O)
Avatar billede andersenph Nybegynder
30. juni 2004 - 14:10 #2
Det er en ny hijacker vi skal have fjernet.

Hent og opdater Ad-Aware: http://www.spywarefri.dk/vaerktoj.htm#adaware
Hent og opdater CWShredder: http://www.spywareinfo.com/~merijn/files/CWShredder.exe

Først opretter du en mappe kun til hijackthis og lægger programmet derover. Så har vi nemlig styr på backup filerne.
Kommer du til at slette noget forkert, kan vi altid komme tilbage og lave en restore. Derfor skal Hijack have sin egen mappe.

Første vigtige punkt er at slå systemgendannelsen fra. Højreklik på Denne Computer på skrivebordet, vælg Egenskaber og fanebladet Systemgendannelse og sæt flueben i Deaktiver systemgendannelse. Klik ok og genstart.
Ellers genskabes alt hvad vi fjerner.

Genstart fejlsikret tilstand. Du trykker f8 nogle gange når Windows starter op.

Derefter skal du åbne Hijackthis.
Du skal vinge disse filer af, jeg har beskrevet nedenunder.
Når du har gjort det så lukker du alle andre vinduer ned.

Fix disse med Hijackthis:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\twabm.dll/sp.html#37680
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://twabm.dll/index.html#37680
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://twabm.dll/index.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\twabm.dll/sp.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://twabm.dll/index.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\twabm.dll/sp.html#37680
O2 - BHO: (no name) - {44E45869-432D-7E42-D253-048EAF61F303} - C:\WINDOWS\system32\appre.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RDLL] RunDll16.exe
O4 - HKLM\..\Run: [winjr32.exe] C:\WINDOWS\winjr32.exe
O4 - HKLM\..\RunServices: [RDLL] RunDll16.exe
O4 - HKLM\..\RunOnce: [d3us.exe] C:\WINDOWS\winjr32.exe
O4 - HKLM\..\RunOnce: [apiwr.exe] C:\WINDOWS\apiwr.exe
O4 - HKLM\..\RunOnce: [atlqs.exe] C:\WINDOWS\system32\atlqs.exe
O4 - HKLM\..\RunOnce: [d3lo32.exe] C:\WINDOWS\d3lo32.exe
O4 - HKLM\..\RunOnce: [netcq.exe] C:\WINDOWS\netcq.exe
O4 - HKLM\..\RunOnce: [d3ge.exe] C:\WINDOWS\system32\d3ge.exe


Søg og slet:
C:\WINDOWS\system32\appre.dll
C:\WINDOWS\system32\twabm.dll
C:\WINDOWS\ntyu32.exe
C:\WINDOWS\winjr32.exe
C:\WINDOWS\apiwr.exe
C:\WINDOWS\system32\atlqs.exe
C:\WINDOWS\d3lo32.exe
C:\WINDOWS\netcq.exe
C:\WINDOWS\system32\d3ge.exe

Det er ikke sikkert du finder dem alle, men så har du checket for om de ligger og gemmer sig.

Nu kører du en scanning med Ad-Aware og CWShredder og fjerner, hvad de finder.

Angående CWShredder:
Pak zipfilen ud i en mappe.
Kør programmet, tjek for updates, afbryd din internetforbindelse fysisk (stikket ud), luk alle vinduer undtaget CWShredder, klik på Fix, den scanner nu, når den er færdigt klik på Next, klik på Exit.

Genstart.
Send ny log ind til kontrol :O)
Avatar billede drinkit Praktikant
30. juni 2004 - 14:56 #3
Det har hjulpet hat.. min log er den samme som før..
Det jeg har prøvet af sige, er, at jeg har fået lagt 3 programmer ind, som ikke kan fjernes ved at gå ind i kontrol panel og trykker tilføj/fjern porgs. og så fjerne de programmer, den kan ikke finde uninstall filen.
Det jeg tror, er at hver gang jeg har slettet de filer her så opretter de programmer dem igen.
Filerne kommer hele tiden igen..
Avatar billede drinkit Praktikant
30. juni 2004 - 14:57 #4
jeg kan se de kører lige nu.. når jeg trykker ctrl alt delete.. Og så afslutter jeg dem, når jeg så åbner IE igen, så starter de igen!
Avatar billede drinkit Praktikant
30. juni 2004 - 14:57 #5
jeg har søgt efter alle de dll filer du skrev, den fandt ikke EN af dem.. noget er mærkeligt!
Avatar billede andersenph Nybegynder
30. juni 2004 - 15:06 #6
Åbn en tilfældig mappe, klik på Funktioner -> Mappeindstillinger -> Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

Søg så igen i fejl sikret og slet dem.
De skal være der :O)
Avatar billede andersenph Nybegynder
30. juni 2004 - 15:13 #7
Gentag proceduren jeg har beskrevet for dig efter du har gjort ovenstående, så skal vi nok få has på dem.
Jeg har set dem før og der er ikke nogen af dem der har overlevet mig endnu.

(så skal det lige passe at dine bliver de første) *GH*

Jeg kigger ind senere :O)
Avatar billede drinkit Praktikant
30. juni 2004 - 15:34 #8
:D den fandt 5 af dem.. og jeg har slettet dem.. det ser ud til at virke fint nu alt sammen.. min log er clean.. takker :) smid svar!
Avatar billede andersenph Nybegynder
30. juni 2004 - 17:21 #9
Det var godt :O)
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
Vil skrifte antivirusprogram. Af ErikHg i Virus 22 26/11/202510:42 23/12/202514:29
Er gratis Bitdefender værd at installere ? Af Ikke-ekspert i Virus 8 31/08/202519:08 01/09/202514:18
Ukendte filer på min Pc Af jonpet i Virus 10 03/02/202514:20 04/02/202511:05
mulig ukendt virus Af jackie18 i Virus 3 18/01/202514:07 18/01/202516:39
virus popper op med jævne mellemrum Af Malm i Virus 13 18/01/202511:40 20/01/202517:53
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
IT-JOB
Seneste spørgsmål Seneste aktivitet
I dag 11:50 Vælg indstilling - blå skærm med med flere muligheder for fejlretning Af Uvanga i Windows
I går 23:24 Google sheets beregning udfra dato Af rickiegrayholm i Office & Kontorpakker
I går 18:09 Outlook Classic, lukker ikke Af mort1 i E-mail programmer
13/0520:48 Bred buet skærm vs. 2 skærme Af Nanarsi i Skærme
13/0518:07 Tilslut printer til netværk med WPS - hvis WPS slukkes på Router mistes forbindelse. Af Uvanga i Wifi
White papers
Flere white papers »