Ang. Virus og Hotbar

Hent Spybot og HijackThis:
http://www.spywarefri.dk/vaerktoj.htm

Installer og kør Spybot, opdater online, scan, afhjælp valgte problemer og genstart.

Derefter kører du Hijackthis > Scan > Save log. Kopier logfilen herind, så kigger vi på den.
Lad være med at slette noget selv med Hijackthis, vi skal nok hjælpe med at tyde loggen.

Så er det gjort, Spybot fandt 107 problemmer som nu er fixed..

log filen fra HijackThis kommer her:
Logfile of HijackThis v1.98.0
Scan saved at 16:02:45, on 05-07-2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SOINTGR.EXE
C:\PROGRAMMER\MCAFEE\MCAFEE VIRUSSCAN\AVSYNMGR.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\PCTVOICE.EXE
C:\PROGRAMMER\NETROPA\TOUCH MANAGER\TOUCHMGR.EXE
C:\PROGRAMMER\MCAFEE\MCAFEE VIRUSSCAN\ALOGSERV.EXE
C:\WINDOWS\FVPROTECT.EXE
C:\PROGRAMMER\NETROPA\TOUCH MANAGER\MEDIACTR.EXE
C:\WINDOWS\ALL USERS\MENUEN START\PROGRAMMER\START\QSYL.EXE
C:\PROGRAMMER\NETROPA\ONSCREEN DISPLAY\OSD.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\AMITECH\ONNOW.EXE
C:\PROGRAMMER\NETROPA\TOUCH MANAGER\MMUSBKB2.EXE
C:\AMITECH\FORTRYD.EXE
C:\SKIBHUSDATA\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.opasia.dk/msie_search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.opasia.dk/msie_search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.opasia.dk/start
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.opasia.dk/start
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmer\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1030,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [CountrySelection] pctptt.exe
O4 - HKLM\..\Run: [PCTVOICE] pctvoice.exe
O4 - HKLM\..\Run: [nVidiaTV-OUT] Regedit /S C:\Windows\tvout.reg
O4 - HKLM\..\Run: [Touch Manager] C:\Programmer\Netropa\Touch Manager\TouchMgr.exe
O4 - HKLM\..\Run: [Startup] C:\Amitech\Startup /START
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\Run: [Alogserv] C:\Programmer\McAfee\McAfee VirusScan\alogserv.exe
O4 - HKLM\..\Run: [Norton Antivirus AV] C:\WINDOWS\FVProtect.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [SO5 Integrator Pass One] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\RunServices: [McAfeeVirusScanService] C:\Programmer\McAfee\McAfee VirusScan\AVSYNMGR.EXE
O4 - Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\SYSTEM\E_SRCV03.EXE
O4 - Global Startup: QSYL.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.opasia.dk/start
O21 - SSODL: AUHook - {BCBCD383-3E06-11D3-91A9-00C04F68105C} - C:\WINDOWS\SYSTEM\AUHOOK.DLL

Hmm er det bare mig eller ser følgende linie ikke lidt skummel ud?

O4 - HKLM\..\Run: [Norton Antivirus AV] C:\WINDOWS\FVProtect.exe

Synes ikke lige FVProtect.exe lyder som en Norton process, eller er det bare mig?

Under alle omstændigheder vil jeg ikke anbefale dig at køre med 2 antivirus programmer samtidig.

Du kan roligt slette følgende:

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmer\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1030,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - Global Startup: QSYL.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O21 - SSODL: AUHook - {BCBCD383-3E06-11D3-91A9-00C04F68105C} - C:\WINDOWS\SYSTEM\AUHOOK.DLL

Følgende ser også tilpas skumle ud, men er ikke sikker. Nogen der kender dem?

O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\RunServices: [SO5 Integrator Pass One] C:\WINDOWS\SOINTGR.EXE

Tag en tur med stinger: http://vil.nai.com/vil/stinger/
Derefter kopierer du en ny log fra HijackThis herind!

nheilbuth >>> har du helt styr på, hvad du beder olsson15 fixe? Bl.a. Spybot og en del andre legale filer?

ny log om lidt.. den scanner som en gal :D

Prøv også lige denne engangsscanner, inden du sender en ny log - tak: http://www.mwti.net/download/tools/mwav.exe

Hej igen
Den scanner stadig, den har fundet en masse Netsky virusser, den fjerner også næsten allesammen, men dem i C:/restore/temp kan den ikke fjerne, hvad gør jeg med dem ?

Du skal slå systemgendannelse fra. Hvis du ikke ved, hvordan du gør så kig her: http://www.spywarefri.dk/virusscannere.htm#alle

Det skulle du sådan set have gjort, inden du scannede - min fejl - det skulle jeg have skrevet. Slå systemgendannelse fra > scan med de to scannere: Stinger + mwav.exe
Derefter kopierer du en ny log fra HijackThis herind ;-)

hvor gør jeg det henne i ME

Se her: http://www.spywarefri.dk/virusscannere.htm#alle

resist: Ups det var en smutter med spybot, men bare fordi nogle af filerne er legale er der ikke nødvendigvis nogen grund til at have dem kørende.

Så kom der en ny log
Logfile of HijackThis v1.98.0
Scan saved at 17:52:20, on 05-07-2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SOINTGR.EXE
C:\PROGRAMMER\MCAFEE\MCAFEE VIRUSSCAN\AVSYNMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMMER\MCAFEE\MCAFEE VIRUSSCAN\VSSTAT.EXE
C:\PROGRAMMER\MCAFEE\MCAFEE VIRUSSCAN\AVCONSOL.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\PCTVOICE.EXE
C:\PROGRAMMER\NETROPA\TOUCH MANAGER\TOUCHMGR.EXE
C:\PROGRAMMER\MCAFEE\MCAFEE VIRUSSCAN\ALOGSERV.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMMER\NETROPA\TOUCH MANAGER\MEDIACTR.EXE
C:\PROGRAMMER\NETROPA\ONSCREEN DISPLAY\OSD.EXE
C:\AMITECH\ONNOW.EXE
C:\PROGRAMMER\NETROPA\TOUCH MANAGER\MMUSBKB2.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\AMITECH\FORTRYD.EXE
C:\PROGRAMMER\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\SKIBHUSDATA\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.opasia.dk/msie_search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.opasia.dk/msie_search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.opasia.dk/start
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.opasia.dk/start
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmer\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1030,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [PCTVOICE] pctvoice.exe
O4 - HKLM\..\Run: [nVidiaTV-OUT] Regedit /S C:\Windows\tvout.reg
O4 - HKLM\..\Run: [Touch Manager] C:\Programmer\Netropa\Touch Manager\TouchMgr.exe
O4 - HKLM\..\Run: [Startup] C:\Amitech\Startup /START
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\Run: [Alogserv] C:\Programmer\McAfee\McAfee VirusScan\alogserv.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [SO5 Integrator Pass One] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\RunServices: [McAfeeVirusScanService] C:\Programmer\McAfee\McAfee VirusScan\AVSYNMGR.EXE
O4 - Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\SYSTEM\E_SRCV03.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.opasia.dk/start
O21 - SSODL: AUHook - {BCBCD383-3E06-11D3-91A9-00C04F68105C} - C:\WINDOWS\SYSTEM\AUHOOK.DLL

Nu skal jeg kigge den nye log igennem ;-)

Når du har fixet denne med HijackThis, ser loggen ren ud:

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

Herefter må du slå systemgendannelse til igen.

Her er et link til sikker surfing:
http://www.eksperten.dk/artikler/144

Hjalp ”kuren”?

Ja helt vildt...
Takker mange gange... :D

Lige et spørgsmål, hvor kan man lære om og tyde HiJackThis log filer henne ?

HOV...
inde i tilføj/fjern programmer står der to programmer som jeg ikke kan fjerne
1. Web Browser Tools by Hotbar
2. Outlook Tools by Hotbar

Hvordan får jeg dem væk ?

`Når jeg vælger fjern, låser vinduet tilføj/fjern programmer..
Mens alt andet stadig dur, det er kun dette ene vindue der låser.. :(

Velbekomme ;-)

Jeg kan ikke se Hotbar i din log fra HijackThis! Prøv at se, om der er en mappe på computeren, der hedder Hotbar – her: C:\Programmer\Hotbar. Hvis der er, så slet den. Kig også her: http://www.spywarefri.dk/specialvark.htm#Hotbar

Angående at lære HijackThis:
Jeg bruger primært Google.dk (nok verdens største "database") og sammenligner HijackThis-logs her i forummet med andre logs på Nettet. Efterhånden lærer man nogle filer at kende, som gør arbejdet lidt hurtigere.
Man kan lave sin egen database over filer (gode som dårlige) og efterhånden udbygge denne.
For at lære at tyde HijackThis-logs kan du forsøge dig med HijackThis-logs, som er løst, og hvor du kender facitlisten, og så prøve dig frem for at se, om du kan nå til samme resultat.
Men pas på - et forkert "fix" kan have fatale følger.
Øvelse gør mester!