Søg
Avatar billede lektor Nybegynder
26. juli 2004 - 12:57 Der er 25 kommentarer og
1 løsning

Hjælp til fjernelse af Spyware

Hejsa..

Jeg har fået et nyt bagrunds billede på mit skrivebord hvor der står Warning your in danger.
Samtidig kommer jeg ind på en side når jeg starter mit internet som bare og en masse popup`s.
Har prøvet lidt forselligt men intet gider fjerne det.
Hjælp?
Avatar billede andersenph Nybegynder
26. juli 2004 - 12:59 #1
Jeg skal bede dig om at hente 2 programmer.
Dem bruger vi som værktøj til at komme nærmere en løsning på dit problem.

Først spybot : http://www.spywarefri.dk/vaerktoj.htm#spybot
direkte link : http://download.com.com/3000-2144-10122137.html?part=104443&subj=dlpage&tag=button

Installer og kør Spybot, opdater online, scan, alle filer den har fundet, der er røde skal markeres, tryk så på afhjælp valgte problemer, derefter genstarter du

Derefter hijackthis : http://danborg.org/spy/HJT/hijackthis.exe
Den udpakker du til en mappe for sig selv, og kører Hijackthis, scan, save log og kopier logfilen herind, så kigger vi på den.
Avatar billede lektor Nybegynder
26. juli 2004 - 13:02 #2
Logfile of HijackThis v1.98.0
Scan saved at 13:05:35, on 26-07-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\SOUNDMAN.EXE
D:\WINDOWS\System32\RUNDLL32.EXE
D:\WINDOWS\system.exe
D:\windows\system32\cmss.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Programmer\Messenger\msmsgs.exe
D:\Documents and Settings\Mikkel\Application Data\sctw.exe
D:\WINDOWS\System32\tinny.exe
D:\WINDOWS\System32\nvsvc32.exe
D:\Programmer\Internet Explorer\iexplore.exe
D:\WINDOWS\System32\wuauclt.exe
C:\Programmer\Ventrilo\Ventrilo.exe
D:\WINDOWS\System32\msiexec.exe
D:\Programmer\D-Tools\daemon.exe
H:\NCDSTART.EXE
H:\Nswsetup.exe
H:\Support\Prescan\Prescan.exe
D:\Documents and Settings\Mikkel\Lokale indstillinger\Temporary Internet Files\Content.IE5\5YE93ZVF\hijackthis[1].exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = D:\WINDOWS\secure.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = D:\WINDOWS\secure.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = D:\WINDOWS\secure.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = D:\WINDOWS\secure.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = D:\WINDOWS\secure.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = D:\WINDOWS\secure.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {6DF91829-C361-5CB8-8127-675579AE2D4D} - D:\WINDOWS\System32\lag.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [System32] D:\WINDOWS\system.exe
O4 - HKLM\..\Run: [cmssSystemProcess] d:\windows\system32\cmss.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programmer\D-Tools\daemon.exe"  -lang 1033
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Programmer\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: GStartup.lnk = ?
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.xxxtoolbar.com
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://213.159.117.133/legal/x.chm::/load.exe
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O21 - SSODL: System - {A9394009-E668-4651-B068-BFFB9B5716D1} - D:\WINDOWS\system32\system32.dll

-------------------------------------------------------------------------------------
sådan der?
Avatar billede lektor Nybegynder
26. juli 2004 - 13:03 #3
Det er den der R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = D:\WINDOWS\secure.html
Det er en satan!
Avatar billede andersenph Nybegynder
26. juli 2004 - 13:05 #4
Det var hurtigt :O)

Jeg kigger lige loggen i gennem og vender tilbage...
Avatar billede lektor Nybegynder
26. juli 2004 - 13:06 #5
Havde kørt den første men havde ikke lige set det der hijack :)
Avatar billede espersen Novice
26. juli 2004 - 13:12 #6
til andersenph : vil du ikke lige tage et kig på loggen i denne tråd:
http://www.eksperten.dk/spm/519969

til lektor : undskyld forstyrrelsen (ignorer bare mit indlæg)
Avatar billede lektor Nybegynder
26. juli 2004 - 13:13 #7
Hehe ingen problemer for mit vedkommende :)
Avatar billede andersenph Nybegynder
26. juli 2004 - 13:15 #8
Hent det her program først:
http://www.trojaner-info.de/cgi-bin/download.cgi?file=sphjfix
http://www.rokop-security.de/main/download.php?op=getit&lid=59

Efter download dobbeltklikkes på exe-filen og der klikkes på knappen: Desinfektion starten"
Herefter skal computeren genstartes. Cleaneren starter nu automatisk for at afslutte desinfektionen.
Herefter køres engang med CWShredder, da den lige skal fjerne en enkelt registrering.


Hent CWShredder her:
http://www.computercops.biz/zx/phoenix22/cws.zip

Pak zipfilen ud i en mappe.
Kør programmet, tjek for updates, afbryd din internetforbindelse fysisk(stikket ud), deaktiver ALLE sikkerhedsprogrammer (f.eks Antivirus, Firewall, SpywareGuard mm), luk alle vinduer undtaget cwshredder, klik på Fix, den scanner nu, når den er færdig klik på Next, klik på Exit.



Du skal nu til at i gang med at fixe. Først skal du slå systemgendannelse fra. NB. Gælder kun for dem som kører med Windows XP eller ME. Der er ikke systemgendannelse i Win98 samt Win2000. Hvis du ikke ved, hvordan du gør det så kig her: http://www.spywarefri.dk/virusscannere.htm#alle

Kør en scanning med Hijackthis, så du kan se alle filer.
Du får herunder nogle filer, som du skal fixe. Det, du skal gøre, er at sætte en vinge ud for disse filer. Når du har gjort det, så lukker du alle andre vinduer ned. Det er meget vigtigt at det eneste vindue, som er åbent er HijackThis vinduet. Husk også at lukke dette vindue, når du har markeret filerne. Nu må du fixe. Klik på Fix checked. Efter fix skal du genstarte din computer.

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = D:\WINDOWS\secure.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = D:\WINDOWS\secure.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = D:\WINDOWS\secure.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = D:\WINDOWS\secure.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = D:\WINDOWS\secure.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = D:\WINDOWS\secure.html
O2 - BHO: (no name) - {6DF91829-C361-5CB8-8127-675579AE2D4D} - D:\WINDOWS\System32\lag.dll
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: GStartup.lnk = ?
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.xxxtoolbar.com
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://213.159.117.133/legal/x.chm::/load.exe
O21 - SSODL: System - {A9394009-E668-4651-B068-BFFB9B5716D1} - D:\WINDOWS\system32\system32.dll


For at kunne se alle filer og mapper, så følg denne vejledning:
Åbn en mappe, klik på Funktioner >Mappeindstillinger >Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".


Genstart i fejlsikret tilstand - søg og slet:
D:\WINDOWS\secure.html >>>> filen secure.html
D:\WINDOWS\system32\system32.dll >>>> filen system32.dll
D:\WINDOWS\System32\lag.dll

Så genstarter du og sender en ny log ind til kontrol :O)

->espersen-> jeg kigger på det nu ;O)
Avatar billede lektor Nybegynder
26. juli 2004 - 13:16 #9
Tusind tak prøver men det ser da lidt svært ud :D
Avatar billede andersenph Nybegynder
26. juli 2004 - 13:19 #10
Tag det stille og roligt.
Et trin af gangen så skal det nok gå.
Er du i tvivl spørger du bare :O)
Avatar billede lektor Nybegynder
26. juli 2004 - 13:21 #11
ok den der første siger at den intet finder og starter ikke efter genstart?
Avatar billede lektor Nybegynder
26. juli 2004 - 13:35 #12
Logfile of HijackThis v1.98.0
Scan saved at 13:38:36, on 26-07-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\SOUNDMAN.EXE
D:\WINDOWS\System32\RUNDLL32.EXE
D:\WINDOWS\system.exe
D:\windows\system32\cmss.exe
D:\Programmer\D-Tools\daemon.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Programmer\Messenger\msmsgs.exe
D:\Documents and Settings\Mikkel\Application Data\sctw.exe
D:\WINDOWS\System32\tinny.exe
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\system.exe
D:\WINDOWS\toolbar.exe
D:\WINDOWS\seksdialer.exe
D:\WINDOWS\System32\wuauclt.exe
D:\WINDOWS\system.exe
D:\WINDOWS\toolbar.exe
D:\WINDOWS\system.exe
D:\WINDOWS\toolbar.exe
D:\Programmer\Internet Explorer\iexplore.exe
D:\WINDOWS\system.exe
D:\WINDOWS\toolbar.exe
D:\Documents and Settings\Mikkel\Lokale indstillinger\Temporary Internet Files\Content.IE5\5YE93ZVF\hijackthis[1].exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = D:\WINDOWS\secure.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = D:\WINDOWS\secure.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = D:\WINDOWS\secure.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = D:\WINDOWS\secure.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = D:\WINDOWS\secure.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = D:\WINDOWS\secure.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [System32] D:\WINDOWS\system.exe
O4 - HKLM\..\Run: [cmssSystemProcess] d:\windows\system32\cmss.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programmer\D-Tools\daemon.exe"  -lang 1033
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Programmer\Messenger\msmsgs.exe" /background
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.xxxtoolbar.com
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O21 - SSODL: System - {4CE8F76D-DEF4-46E0-93D0-313F5445A59B} - D:\WINDOWS\system32\system32.dll

Sådan
Avatar billede lektor Nybegynder
26. juli 2004 - 13:41 #13
Jeg tror sq bare at jeg formaterer lortet den er alligevel så mega inficeret..
men tak for hurtig hjælp ;)
Avatar billede lektor Nybegynder
26. juli 2004 - 13:42 #14
Du skal lige have point
Avatar billede lektor Nybegynder
26. juli 2004 - 13:55 #15
Men hvordan gør man det nu om dage? :D
Avatar billede andersenph Nybegynder
26. juli 2004 - 13:57 #16
Stop du behøver ikke  formattere
Avatar billede andersenph Nybegynder
26. juli 2004 - 14:01 #17
Det er meget hurtigere det vi har gang i her.

Nu tager vi det i små bidder:

Højreklik på Denne Computer på skrivebordet, vælg Egenskaber og fanebladet Systemgendannelse og sæt flueben i Deaktiver systemgendannelse. Klik ok og genstart.

Start hijack på.
Tryk på scan.
Sæt vinge i den linier jeg har skrevet her:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = D:\WINDOWS\secure.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = D:\WINDOWS\secure.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = D:\WINDOWS\secure.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = D:\WINDOWS\secure.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = D:\WINDOWS\secure.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = D:\WINDOWS\secure.html
O2 - BHO: (no name) - {6DF91829-C361-5CB8-8127-675579AE2D4D} - D:\WINDOWS\System32\lag.dll
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: GStartup.lnk = ?
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.xxxtoolbar.com
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://213.159.117.133/legal/x.chm::/load.exe
O21 - SSODL: System - {A9394009-E668-4651-B068-BFFB9B5716D1} - D:\WINDOWS\system32\system32.dll
Tryk på fix.

Start op i fejlsikret

Tryk start -> søg  og led efter disse filer:
D:\WINDOWS\secure.html >>>> filen secure.html
D:\WINDOWS\system32\system32.dll >>>> filen system32.dll
D:\WINDOWS\System32\lag.dll

Så genstarter du og sender en ny log ind til kontrol

Det kan vi altså godt klare os to :O)
Avatar billede andersenph Nybegynder
26. juli 2004 - 14:02 #18
Filerne skal selvfølgelig slettes :O)
Avatar billede cp1 Nybegynder
26. juli 2004 - 14:44 #19
Undskyld spam,  "andersenph" har du tid til at kigge her http://www.eksperten.dk/spm/523248 , Mvh /cp1
Avatar billede lektor Nybegynder
26. juli 2004 - 14:47 #20
Ahh pis der var jeg for hurtig på fingrene.
Avatar billede andersenph Nybegynder
26. juli 2004 - 14:52 #21
cp1 jeg kigger på det nu.

Lektor-> har du formatteret?
Avatar billede lektor Nybegynder
26. juli 2004 - 14:59 #22
ja hehe sry. mejeg kan give dig de point.. demn kom med et svar så
Avatar billede lektor Nybegynder
26. juli 2004 - 14:59 #23
Dem har du ærligt og redeligt fortjemt
Avatar billede andersenph Nybegynder
26. juli 2004 - 15:00 #24
Kommer her :O)

Ked af jeg ikke nåede at stoppe dig....
http://www.eksperten.dk/artikler/144
http://www.eksperten.dk/artikler/254
Her er lidt læsning om sikker surfing på nettet.
Avatar billede lektor Nybegynder
26. juli 2004 - 15:11 #25
har du fået dem?
Avatar billede andersenph Nybegynder
26. juli 2004 - 15:27 #26
Ja mange tak :O)

Nu må du love mig at du giver os en chance en anden gang. Enten her på Eksperten eller på Spywarefri
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
Vil skrifte antivirusprogram. Af ErikHg i Virus 22 26/11/202510:42 23/12/202514:29
Er gratis Bitdefender værd at installere ? Af Ikke-ekspert i Virus 8 31/08/202519:08 01/09/202514:18
Ukendte filer på min Pc Af jonpet i Virus 10 03/02/202514:20 04/02/202511:05
mulig ukendt virus Af jackie18 i Virus 3 18/01/202514:07 18/01/202516:39
virus popper op med jævne mellemrum Af Malm i Virus 13 18/01/202511:40 20/01/202517:53
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I går 20:48 Bred buet skærm vs. 2 skærme Af Nanarsi i Skærme
I går 18:07 Tilslut printer til netværk med WPS - hvis WPS slukkes på Router mistes forbindelse. Af Uvanga i Wifi
11/0521:05 Questyle M15i lydforstærker Af valby i Diverse
11/0518:27 Mærkeligt ikon på proceslinjen Af ErikHg i Windows
11/0513:54 Jeg skal have indstaleret Garmin express Af skolevej321 i Andet software
White papers
Flere white papers »