Søg
Avatar billede thenry Nybegynder
11. juli 2004 - 00:22 Der er 6 kommentarer og
1 løsning

Spyware - hvordan fjernes skidtet

Hej eksperter.

Fornylig fik jeg spyware på min PC. Første tegn var, at startsiden i browseren åbnede med en søgemasking 'Search for...'.
Sidenhen blev min antivirus (Norton Antivirus 2004 pro) automatisk disabled så den ikke starter ved opstart og jeg kan ikke få den til det igen - jeg kan sågar ikke engang afinstallere programmet via 'Tilføj/fjern programmer' i kontrolpanelet. Desuden loades min Logitech-mus ikke ved opstart, så jeg ikke kan bruge de specialknapper, som er på musen førend, jeg har aktiveret den via kontrolpanelet. Ydermere er der problemer med lyden på min PC. Eksempelvis forsvinder noget af lyden, når jeg f.eks. spiller FarCry og den kan forsvinde helt ved afspilning af MP3 i Winamp.

Jeg har kørt diverse spyware-sweepers (Spybot, Ad-aware, CWshredder & Spysweeper) og fået fjernet en del snavs, som de programmer fandt. Min startside er tilbage til normal i browseren, men Norton antivirus, musen og lyden er der stadig problemer med.

Kan I hjælpe med problemet? På forhånd tak for hjælpen.
Mvh. Anders


Nedenfor er min Hijackthis-log:
Logfile of HijackThis v1.97.7
Scan saved at 00:24:01, on 11-07-2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\CTsvcCDA.EXE
C:\WINNT\System32\svchost.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINNT\system32\MSTask.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\rmctrl.exe
C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\PROGRA~1\B'SCLI~1\Win2K\BSCLIP.exe
C:\Program Files\Creative\ShareDLL\CtNotify.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Program Files\Common Files\Real\Update_OB\evntsvc.exe
C:\WINNT\system32\internat.exe
C:\Program Files\Creative\ShareDLL\MediaDet.Exe
C:\Program Files\Creative\SBAudigy\Taskbar\CTLTray.exe
C:\Program Files\Creative\SBAudigy\Taskbar\CTLTask.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Microsoft Office\Office\1030\msoffice.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Logitech\MouseWare\System\Em_exec.exe
C:\Program Files\Common Files\Real\Update_OB\rndal.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Documents and Settings\Anders\Local Settings\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.jubii.dk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.jubii.dk/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.jubii.dk
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [RemoteControl] C:\WINNT\System32\rmctrl.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [B'sCLiP] C:\PROGRA~1\B'SCLI~1\Win2K\BSCLIP.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\Updreg.exe
O4 - HKLM\..\Run: [Disc Detector] C:\Program Files\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [TkBellExe] C:\Program Files\Common Files\Real\Update_OB\evntsvc.exe -osboot
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [SetDefaultMIDI] MIDIDef.exe
O4 - HKCU\..\Run: [Jet Detection] C:\Program Files\Creative\SBAudigy\PROGRAM\ADGJDet.exe
O4 - HKCU\..\Run: [TaskTray] C:\Program Files\Creative\SBAudigy\Taskbar\CTLTray.exe
O4 - HKCU\..\Run: [Taskbar] C:\Program Files\Creative\SBAudigy\Taskbar\CTLTask.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/SU/ocx/12119/CTSUEng.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://apple.speedera.net/qtinstall.info.apple.com/borris/us/win/QuickTimeInstaller.exe
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37591.5229166667
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/SU/ocx/12119/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C14ABAE9-53B1-48ED-BDE9-0D0257F1DEFC}: NameServer = 193.162.153.164 194.239.134.83
Avatar billede resist Nybegynder
11. juli 2004 - 09:06 #1
Jeg kan ikke umiddelbart se noget i din log, som kan forårsage det, du beskriver. Der er dog nogle, som jeg ville fixe med HijackThis.

Opret en mappe kun til HijackThis. Placer HijackThis i denne mappe og kør programmet derfra.

Herunder er der nogle filer, som du skal fixe. Sæt en vinge ud for disse filer. Når du har gjort det, så lukker du alle andre vinduer ned.

Fix disse med HijackThis:

O4 - HKLM\..\Run: [UpdReg] C:\WINNT\Updreg.exe
O4 - HKLM\..\Run: [TkBellExe] C:\Program Files\Common Files\Real\Update_OB\evntsvc.exe –osboot
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

Genstart


Prøv dette:
Indsæt din 2000-cd i dit drev.
Gå i start
Kør
Skriv: sfc /scannow
(husk mellemrum mellem sfc og /scannow)
OK

Er der nogle systemfiler, som ikke har det så godt, så bliver de repareret og mangler der nogle, så bliver de gendannet.
Avatar billede thenry Nybegynder
13. juli 2004 - 12:14 #2
Hej resist.

Tak for hjælpen så langt. Jeg kan dog stadig ikke få mit antivirus til at virke/afinstalleret. Jeg gik på Symantec's hjemmeside og læste en vejledning til at få afinstalleret Norton AV2004 pro. Jeg skulle køre en fil, som ændrede noget i reg.-databasen og derefter downloade en script-fil fra Microsoft's hjemmeside, inden jeg kunne afinstallere programmet. Men efter at have kørt script-filen fra Microsoft kan jeg ikke se nogensomhelst sider på nettet. Jeg forbinder, men der er et eller andet helt galt. Jeg er ingen ekspert, men det må være en DNS-fejl, idet jeg godt kan se sider, hvis jeg skriver selve IP-adressen. Anyway - det er grunden til, at jeg først svarer nu (fra mit arbejde) :-) Jeg er helt på bar bund og overvejer indkøb af ny harddisk.
Har du andre gode forslag? Al hjælp er meget velkommen - tak. :-)
Avatar billede resist Nybegynder
13. juli 2004 - 14:33 #3
Du kan eventuelt prøve at lave en repair af Windows: http://www.hcma.dk/tips&tricks.htm#install_repair
Avatar billede thenry Nybegynder
18. juli 2004 - 23:04 #4
Hej igen.
Nu er jeg oppe og køre igen.
Der måtte en ny harddisk til, men du har alligevel lært mig nogle nyttige fif med eksempelvis windows-repair, som jeg ikke kendte.

Så jeg vil gerne aflevere mine points, som tak for hjælpen.
Avatar billede resist Nybegynder
18. juli 2004 - 23:10 #5
Velbekomme ;-)

Du også lige et par gode links sikker surfing:
http://www.eksperten.dk/artikler/144
http://www.eksperten.dk/artikler/254
Avatar billede resist Nybegynder
18. juli 2004 - 23:16 #6
Jeg prøver lige igen ;-) : Du får også lige et par gode links til sikker surfing:
Linkene er gode nok.
Avatar billede thenry Nybegynder
20. juli 2004 - 15:55 #7
Endnu engang tak for hjælpen samt de nyttige links - spyware er da en absolut pestilens!!!

I øvrigt, så skulle dine points være afleveret :-)
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Andet sikkerhed kategorien

Titel Indlæg Oprettet Seneste aktivitet
hvilken afløser kan I anbefale? Af jcr18 i Andet sikkerhed 5 17/03/202610:32 18/03/202615:36
Advarsler om datalæk for nogle apps Af nu_igen i Andet sikkerhed 6 02/02/202614:54 03/02/202613:45
Mail fra Yousee ? Svindel? Af nu_igen i Andet sikkerhed 4 13/01/202617:27 14/01/202609:36
Er det sandsynligt, at jeg har været udsat for phishing Af Slettet bruger i Andet sikkerhed 4 13/11/202515:09 14/11/202510:45
Google fake Af johp i Andet sikkerhed 3 27/10/202516:31 28/10/202506:52
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I går 12:32 iPadOS 26.4.1 kan ikke opdatere Af claes57 i Apps til iOS
08/0410:38 Indholdsfortegnelse ændrer sig, når jeg gemmer som PDF Af Jan K i Word
06/0419:53 installer mange programmer på en gang Af Overgaard1654 i Andet software
06/0417:48 Min hp Officejet pro 7740 skærer det nederste af billedet i word Af rosmarin i Printere
06/0413:13 Batch OCR Af KurtG i Billedbehandling
White papers
Flere white papers »