En fremmed opstartside er ikke til at slippe af med??

Der er garanteret spyware.
Hvad hedder startsiden?

Prøv f.eks at gå ind på denne:

http://spywarefri.dk/vaerktoj.htm

Og find nogle værktøjer til fjernelse af spyware. Personligt kan jeg anbefale SPYBOT og ADWARE. Der er nemme at konfigurere og findes med dansk sprogfil.

De holder sommerferie på spywarefri og vi kan sagtens gøre dem tricket efter her på eksperten :O)

Jeg skal bede dig om at hente 2 programmer.
Dem bruger vi som værktøj til at komme nærmere en løsning på dit problem.

Først spybot : http://www.spywarefri.dk/vaerktoj.htm#spybot
direkte link : http://download.com.com/3000-2144-10122137.html?part=104443&subj=dlpage&tag=button

Installer og kør Spybot, opdater online, scan, alle filer den har fundet, der er røde skal markeres, tryk så på afhjælp valgte problemer, derefter genstarter du

Derefter hijackthis : http://www.spywarefri.dk/vaerktoj.htm#hijackthis
direkte link :        http://www.webattack.com/get/hijackthis.html
den udpakker du og kører Hijackthis, scan, save log og kopier logfilen herind, så kigger vi på den.

http://searchcentral.cc/index.php?v=4&aff=2952

Jeg kigger på det!

thmi99 > Den er velkendt.
Følg blot andersenph's anvisninger. Det lader til, at du er i gode hænder.

Det er han/hun nemlig :O)

andersen > Ja, man skal jo ikke sætte sit lys under en skæppe :o)

spyboot bliver ved med at sige:
Der er ingen diskette i drevet. indsæt en diskette i drev \device\harddisk\dr5

->mugs->Nej det har du ret i, men i dette tilfælde ved jeg nogenlunde hvad jeg har med at gøre *S*
Jeg fjerner trods alt nogle stykker af slagsen om dagen...

->thmi99->Du skal sætte den til at scanne dit lokale drev ( i de fleste tilfælde C:)

Jeg kan ikke finde hvor man sætter den til det??

Har du trykker på søg efter opdateringer?

Nu har jeg, hvad skal jeg så gøre for at vælge drev??

andersen > Det har jeg derimod ikke. Normalt er jeg ikke i denne kategori, men fordi jeg har en døgnvagt, og jeg har en stille periode surfede jeg lidt rundt på eksperten og faldt over dette spørgsmål. Jeg har selv stor fornøjelse af spywarefri, og så sent som igår fjernede jeg en led spyware. Så mit indlæg skal såmænd ikke tages for andet end en henvisning til et godt site, og absolut ikke fordi jeg ved hvad jeg taler om (her i hvert fald).

Det skal du ikke. Det er mig der vrøvler.
Tryk på tjek alt, så skulle den scanne din pc.
Men hvis det kikser går du videre til hijackthis i stedet...

Der påstår jeg sandelig heller ikke :O) mugs overhovedet ikke...

Jeg kan kun finde en "Scan system"
Jeg har lavet en hijackthis, vil du se log'en?

Logfile of HijackThis v1.97.7
Scan saved at 21:35:36, on 13-07-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\Programmer\Fælles filer\CMEII\CMESys.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Programmer\Messenger\msmsgs.exe
D:\WINDOWS\System32\RUNDLL32.EXE
D:\Programmer\Fælles filer\GMT\GMT.exe
D:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
D:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
D:\WINDOWS\System32\rundll32.exe
D:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
D:\WINDOWS\System32\devldr32.exe
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\HPZipm12.exe
D:\Programmer\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
D:\Programmer\Internet Explorer\iexplore.exe
D:\WINDOWS\System32\wuauclt.exe
D:\Programmer\Outlook Express\msimn.exe
G:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchcentral.cc/search.php?v=4&aff=2952
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchcentral.cc/index.php?v=4&aff=2952
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://searchcentral.cc/index.php?v=4&aff=2952
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programmer\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CMESys] "D:\Programmer\Fælles filer\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKLM\..\RunOnce: [tlc] D:\WINDOWS\update13.js
O4 - Global Startup: GStartup.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: hp psc 2000 Series.lnk = D:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.bgbank.dk/html/activex/e-Safekey/BG/e-Safekey.cab

>>Andersenph<<
Er du blevet væk :)

Nej da jeg kigger lige loggen igennem nu

Først opretter du en mappe kun til hijackthis og lægger programmet derover. Så har vi nemlig styr på backup filerne.
Kommer du til at slette noget forkert, kan vi altid komme tilbage og lave en restore. Derfor skal Hijack have sin egen mappe.

Første vigtige punkt er at slå systemgendannelsen fra. For Xp er det:
Højreklik på Denne Computer på skrivebordet, vælg Egenskaber og fanebladet Systemgendannelse og sæt flueben i Deaktiver systemgendannelse. Klik ok og genstart.
For ME er det: Højreklik Denne Computer, vælg Egenskaber - Ydeevne - Filsystem - Fejlfinding.
Sæt flueben i Deaktiver Systemgendannelse.
Klik OK og genstart computeren.
Ellers genskabes alt hvad vi fjerner.

Derefter skal du åbne hijackthis.
Du skal vinge disse filer af, jeg har beskrevet nedenunder.
Når du har gjort det så lukker du alle andre vinduer ned.
Klik på Fix checkede.
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchcentral.cc/search.php?v=4&aff=2952
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchcentral.cc/index.php?v=4&aff=2952
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://searchcentral.cc/index.php?v=4&aff=2952
O4 - HKLM\..\Run: [CMESys] "D:\Programmer\Fælles filer\CMEII\CMESys.exe"
O4 - HKLM\..\RunOnce: [tlc] D:\WINDOWS\update13.js

Disse programmer skal slettes i fejlsikret tilstand. Du genstarter og trykker F8 når Windows starter op.

Søg efter disse filer:
D:\Programmer\Fælles filer\GMT\GMT.exe<<<- slet hele mappen GMT

Derefter genstarter du og sender en ny log ind til check

Der er lige et par ting mere:
Hent og opdater CWShredder: http://www.spywareinfo.com/~merijn/files/CWShredder.exe

Derefter skal du lige fixe lidt mere...
O4 - Global Startup: GStartup.lnk = ?

Så skal jeg bede dig om at starte op i fejlsikret tilstand og fixe denne:
O4 - HKLM\..\RunOnce: [tlc] D:\WINDOWS\update13.js

Du genstarter og trykker F8 nogle gange lige når windows starter. Så kommer du i fejlsikret tilstand.

Og så kører du programmet CWShredder, se herunder hvad du skal gøre.

Angående CWShredder:
Opret en mappe kun til CWShredder.
Kør programmet, tjek for updates, afbryd din internetforbindelse fysisk (stikket ud), luk alle vinduer undtaget cwshredder, klik på Fix, den scanner nu, når den er færdigt klik på Next, klik på Exit.
Genstart
Ny log

Gtm mappen kunne ikke slettes!
Og update13.js var ikke i fejlsikkertilstand, da jeg havde fixet den tidligere

Nu skal jeg til at prøve CWShredder!

GMT mappen skal også slettes i fejlsikret. Det glemte jeg at sige    sorry

Logfile of HijackThis v1.97.7
Scan saved at 22:19:00, on 13-07-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\System32\ctfmon.exe
D:\Programmer\Messenger\msmsgs.exe
D:\WINDOWS\System32\RUNDLL32.EXE
D:\WINDOWS\System32\rundll32.exe
D:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
D:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
D:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
D:\WINDOWS\System32\devldr32.exe
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\HPZipm12.exe
D:\Programmer\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
G:\Ny mappe\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programmer\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: hp psc 2000 Series.lnk = D:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.bgbank.dk/html/activex/e-Safekey/BG/e-Safekey.cab

Så er din log ren og du kan godt slå systemgendannelsen til igen.
http://www.eksperten.dk/artikler/144
Her er lidt læsning om sikker surfing på nettet.

Takker