Søg
Avatar billede 0123 Novice
05. august 2004 - 20:17 Der er 10 kommentarer og
1 løsning

spywarer på computer

Hej !
Mine filer.
Hvilke skal jeg slette?
Er der nogle som kan hjælpe mig med det ?
Logfile of HijackThis v1.98.0
Scan saved at 19:47:15, on 05-08-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\QuickTime\qttask.exe
C:\WINDOWS\system32\explorer.exe
C:\Programmer\VVSN\VVSN.exe
C:\Programmer\Fælles filer\WinTools\WToolsA.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Documents and Settings\garby\Application Data\iaee.exe
C:\WINDOWS\System32\euqib.exe
C:\WINDOWS\system32\explorer.exe
C:\Programmer\MyWebSearch\bar\1.bin\MWSOEMON.EXE
C:\WINDOWS\System32\explorer.exe
C:\WINDOWS\System32\mshta.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\Programmer\Fælles filer\WinTools\WSup.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programmer\Outlook Express\msimn.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\garby\Dokumenter\spybot\Spybot - Search & Destroy\SpybotSD.exe
C:\WINDOWS\notepad.exe
C:\Documents and Settings\garby\Dokumenter\hi-jack\hijackthis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\secure.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\secure.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\mfplay.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ls0.net/srchasst.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\mfplay.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\secure.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\secure.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O1 - Hosts: 213.159.117.235 auto.search.msn.com
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem219.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {31AE6375-E844-76BD-8453-67557CA72D6F} - C:\WINDOWS\System32\btkwver.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Documents and Settings\garby\Dokumenter\spybot\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll
O2 - BHO: (no name) - {85CBFDE0-B26B-4EE5-BD3C-4DE111DE763E} - C:\WINDOWS\System32\winnet.dll
O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\FLLESF~1\WinTools\WToolsB.dll
O2 - BHO: (no name) - {DF0558F5-7B95-4E70-A705-F688E857D437} - C:\WINDOWS\System32\mfplay.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Windows Shell Library Loader] load shell32.dll /c /set
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [alchem] C:\WINDOWS\alchem.exe
O4 - HKLM\..\Run: [Explorer] C:\WINDOWS\system32\explorer.exe
O4 - HKLM\..\Run: [VVSN] C:\Programmer\VVSN\VVSN.exe
O4 - HKLM\..\Run: [Ad-aware] C:\Programmer\Lavasoft\Ad-aware 6\Ad-aware.exe +c
O4 - HKLM\..\Run: [Ad-watch] C:\Programmer\Lavasoft\Ad-aware 6\Ad-watch.exe
O4 - HKLM\..\Run: [WinTools] C:\Programmer\Fælles filer\WinTools\WToolsA.exe
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Documents and Settings\garby\Dokumenter\spybot\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Instant Access] rundll32.exe p2esocks_1017.dll,InstantAccess
O4 - HKCU\..\Run: [Mlam] C:\Documents and Settings\garby\Application Data\iaee.exe
O4 - HKCU\..\Run: [Jvvtxf] C:\WINDOWS\System32\euqib.exe
O4 - HKCU\..\Run: [SpyKiller] C:\Programmer\SpyKiller\spykiller.exe /startup
O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Programmer\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Programmer\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZRxdm185
O8 - Extra context menu item: Web Search - C:\WINDOWS\ex.htm
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.xxxtoolbar.com
O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F82-00104B107C96}
O18 - Protocol: start - {53B95211-7D77-11D2-9F82-00104B107C96} - C:\WINDOWS\System32\msxslab.dll
O18 - Filter: text/html - {259811D6-75E2-47BD-8F21-CE3C9B1D6E15} - C:\WINDOWS\System32\mfplay.dll
O18 - Filter: text/plain - {259811D6-75E2-47BD-8F21-CE3C9B1D6E15} - C:\WINDOWS\System32\mfplay.dll
O21 - SSODL: System - {C9E27A35-2279-4FFC-9A3D-A557DD97BC7F} - C:\WINDOWS\system32\system32.dll
Avatar billede andersenph Nybegynder
05. august 2004 - 20:25 #1
Jeg kigger på den nu...
Avatar billede andersenph Nybegynder
05. august 2004 - 20:39 #2
Først opretter du en mappe kun til hijackthis og lægger programmet derover. Så har vi nemlig styr på backup filerne.
Kommer du til at slette noget forkert, kan vi altid komme tilbage og lave en restore. Derfor skal Hijack have sin egen mappe.

Første vigtige punkt er at slå systemgendannelsen fra. Højreklik på Denne Computer på skrivebordet, vælg Egenskaber og fanebladet Systemgendannelse og sæt flueben i Deaktiver systemgendannelse. Klik ok og genstart.
Ellers genskabes alt hvad vi fjerner

Hvis du ikke har dem så:
Hent og opdater Ad-Aware: http://www.spywarefri.dk/vaerktoj.htm#adaware
Hent og opdater CWShredder: http://www.spywareinfo.com/downloads/tools/CWShredder.exe
Eller her: http://www.softpedia.com/public/cat/10/17/10-17-150.shtml
Hent Aboutbuster og læg dette program i sin egen mappe et sted du kan huske:
http://www.atribune.org/downloads/AboutBuster.zip

Genstart fejlsikret tilstand. Du trykker F8 nogle gange mens windows starter op.
Fix disse med HijackThis:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\secure.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\secure.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\mfplay.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ls0.net/srchasst.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\mfplay.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\secure.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\secure.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O1 - Hosts: 213.159.117.235 auto.search.msn.com
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem219.dll
O2 - BHO: (no name) - {31AE6375-E844-76BD-8453-67557CA72D6F} - C:\WINDOWS\System32\btkwver.dll
O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll
O2 - BHO: (no name) - {85CBFDE0-B26B-4EE5-BD3C-4DE111DE763E} - C:\WINDOWS\System32\winnet.dll
O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\FLLESF~1\WinTools\WToolsB.dll
O2 - BHO: (no name) - {DF0558F5-7B95-4E70-A705-F688E857D437} - C:\WINDOWS\System32\mfplay.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [alchem] C:\WINDOWS\alchem.exe
O4 - HKLM\..\Run: [Explorer] C:\WINDOWS\system32\explorer.exe
O4 - HKLM\..\Run: [VVSN] C:\Programmer\VVSN\VVSN.exe
O4 - HKLM\..\Run: [WinTools] C:\Programmer\Fælles filer\WinTools\WToolsA.exe
O4 - HKCU\..\Run: [Instant Access] rundll32.exe p2esocks_1017.dll,InstantAccess
O4 - HKCU\..\Run: [Mlam] C:\Documents and Settings\garby\Application Data\iaee.exe
O4 - HKCU\..\Run: [Jvvtxf] C:\WINDOWS\System32\euqib.exe
O4 - HKCU\..\Run: [SpyKiller] C:\Programmer\SpyKiller\spykiller.exe /startup
O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Programmer\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Programmer\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZRxdm185
O8 - Extra context menu item: Web Search - C:\WINDOWS\ex.htm
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.xxxtoolbar.com
O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F82-00104B107C96}
O18 - Protocol: start - {53B95211-7D77-11D2-9F82-00104B107C96} - C:\WINDOWS\System32\msxslab.dll
O18 - Filter: text/html - {259811D6-75E2-47BD-8F21-CE3C9B1D6E15} - C:\WINDOWS\System32\mfplay.dll
O18 - Filter: text/plain - {259811D6-75E2-47BD-8F21-CE3C9B1D6E15} - C:\WINDOWS\System32\mfplay.dll
O21 - SSODL: System - {C9E27A35-2279-4FFC-9A3D-A557DD97BC7F} -



Vi skal kunne se dine skjulte filer for at finde snavs, der skal slettes manuelt. Det er en del af processen.
Åbn en tilfældig mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

Søg og slet følgende stadig i fejlsikret tilstand:

C:\WINDOWS\nem219.dll>>>>filen
C:\WINDOWS\System32\btkwver.dll>>>>filen
C:\WINDOWS\2_0_1browserhelper2.dll>>>>filen
C:\WINDOWS\System32\winnet.dll>>>>filen
C:\PROGRA~1\FLLESF~1\WinTools\WToolsB.dll>>>>filen
C:\WINDOWS\System32\mfplay.dll>>>>filen
C:\WINDOWS\alchem.exe>>>>filen
C:\WINDOWS\system32\explorer.exe>>>>filen
C:\Programmer\VVSN\VVSN.exe>>>>mappen VVSN\
C:\WINDOWS\system32\system32.dll>>>>filen
C:\Documents and Settings\garby\Application Data\iaee.exe
C:\WINDOWS\System32\euqib.exe>>>>filen
C:\Programmer\SpyKiller\spykiller>>>>mappen
C:\Programmer\MyWebSearch>>>>mappen MyWebSearch
C:\WINDOWS\ex.htm>>>>filen
C:\WINDOWS\System32\msxslab.dll>>>>filen
C:\WINDOWS\System32\mfplay.dll>>>>filen

Det er ikke sikkert du finder dem alle, men så har vi checket dem.

Så starter du aboutbuster. Fjern det den finder.

Nu kører du en scanning med Ad-Aware og CWShredder og fjerner, hvad de finder.

Angående CWShredder:
Pak zipfilen ud i en mappe.
Kør programmet, tjek for updates, afbryd din internetforbindelse fysisk (stikket ud), luk alle vinduer undtaget cwshredder, klik på Fix, den scanner nu, når den er færdigt klik på Next, klik på Exit.

Så skal du lige en tur i registrerings databasen:
Start->Kør, skriv- regedit klik OK.

Klik dig frem til:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
Tjek om der en nøgle/tekst der hedder-About:blank, hvis ja, så slet den
Klik på - Denne Computer, i regedit vinduet, klik- rediger-søg, skriv: About:blank tryk- Enter. Slet den, tryk F3 -slet - F3 -slet indtil søgningen er færdig.
Samme fremgangsmåde med-HomeOldSP


Og slet midlertidige internetfiler  ->kontrolpanel->internetindstillinger->generelt->slet filer og cookies

Genstart.
Så bliver du nødt til at komme med en log mere til kontrol :O)
Avatar billede johnstigers Seniormester
05. august 2004 - 22:39 #3
0123> http://www.eksperten.dk/point.phtml?navn=0123
Nederst har du en række åbne spørgsmål af dine. Dem med grønne og gule flag savner lidt feedback fra dig - evt. skal du få dem lukket - på forhånd tak.
Avatar billede 0123 Novice
06. august 2004 - 04:16 #4
Jeg prøver og melder tilbage!
Avatar billede johnstigers Seniormester
06. august 2004 - 19:46 #5
Du har ikke prøvet hårdt nok! Du har stadig åbne spørgsmål!
Avatar billede 0123 Novice
06. august 2004 - 20:00 #6
Så trækker jeg alle point tilbage !
Avatar billede 0123 Novice
18. august 2004 - 04:31 #7
tak for det !
Avatar billede crashdummy Nybegynder
18. august 2004 - 20:32 #8
Du er anmeldt før og vil blive det igen hvis du tager point selv....
Avatar billede Slettet bruger
03. december 2004 - 00:06 #9
lukketid ????
Avatar billede 0123 Novice
03. december 2004 - 00:09 #10
Det er bare i orden !
Avatar billede andersenph Nybegynder
04. december 2004 - 10:22 #11
Kan jeg få en ny log fra dig eller skal dette spørgsmål lukkes?
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
Vil skrifte antivirusprogram. Af ErikHg i Virus 22 26/11/202510:42 23/12/202514:29
Er gratis Bitdefender værd at installere ? Af Ikke-ekspert i Virus 8 31/08/202519:08 01/09/202514:18
Ukendte filer på min Pc Af jonpet i Virus 10 03/02/202514:20 04/02/202511:05
mulig ukendt virus Af jackie18 i Virus 3 18/01/202514:07 18/01/202516:39
virus popper op med jævne mellemrum Af Malm i Virus 13 18/01/202511:40 20/01/202517:53
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
9 min siden Tilslut printer til netværk med WPS - hvis WPS slukkes på Router mistes forbindelse. Af Uvanga i Wifi
11/0521:05 Questyle M15i lydforstærker Af valby i Diverse
11/0518:27 Mærkeligt ikon på proceslinjen Af ErikHg i Windows
11/0513:54 Jeg skal have indstaleret Garmin express Af skolevej321 i Andet software
11/0510:48 Back up af foto til ekstern harddisk Af hkprofil i Office & Kontorpakker
White papers
Flere white papers »