TR.Dldr.Agent.Z.2

Kender nogen i øvrigt noget til denne virus?

prøv at køre den her, den tager det den skal, og ikke mere
Prøv lige at hente, og køre denne scanner. Sæt flueben ved alle options, og scan/clean.
http://www.mwti.net/antivirus/free_utilities.asp

ok, tak - det prøver jeg.

Et godt råd er at fjerne stikket til internettet, og lukke for Antivir mens du scanner. Husk at slå Antivir til, inden du sætter stikket i igen.

Der findes tusindvis af den slags "downloaders". Ofte bliver de installeret fra en hjemmeside du har besøgt. Typisk kan de bære spyware med sig, og du bør derfor også tjekke med Ad-Aware bagefter http://download.com/3000-2144-10045910.html?part=69274&subj=dlpage&tag=button

Hmm, det viste sig jo at der var flere vira. Men den tager forhåbentlig dem alle med. Jeg har i forvejen sådan noget "Spyware doctor" - men den tager jo nok ikke alt. Jeg prøver lige Ad-aware.

F.eks. kan jeg ikke ændre min browsers startside? Det tyder vel på at der er spyware...

E-scan fjerner det den finder. Det den ikke sletter, er ikke direkte skadeligt.
Når du har kørt Ad-Aware, så læg en logfil fra HijackThis ind i tråden. Det lyder som om at du blevet "hijacked".

http://www.spywareinfo.com/downloads/tools/HijackThis.exe


http://danborg.org/spy/HJT/hijackthis.exe


Hvis du ikke ved hvordan: Åbn HJT>scan>save log>den åbner så i notesblok. Copy/paste den herind i tråden.

Logfile of HijackThis v1.98.2
Scan saved at 23:07:16, on 10-08-2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Messenger Plus! 2\MsgPlus.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Johan Ask Nielsen\Desktop\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.signon.stofanet.dk/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.hotsearchbox.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.searchv.com/1/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = http://www.searchv.com/1/
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.searchv.com/5/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = http://www.searchv.com/1/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://dyoafs.t.muxa.cc/h.php?aid=420 (obfuscated)
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [THGuard] "C:\Program Files\TrojanHunter 3.7\THGuard.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Program Files\Spyware Doctor\spydoctor.exe" /Q
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {0EC4C9E3-EC6A-11CF-8E3B-444553540000} (WaveTab Control) - http://www.riffinteractive.com/setup/RiffLick.cab
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://195.225.177.13/20646/online.chm::/on-line.exe
O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20020713/qtinstall.info.apple.com/samantha/us/win/QuickTimeInstaller.exe
O16 - DPF: {470F8EBB-1D1D-4D39-AE1D-2B6BCBFF0326} (DKMusicAwds.clsEntryPoint) - http://www.danishmusicawards.dk/DKMusicAwds.CAB
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2002092801/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab28177.cab

Hvad vil det sige at være HiJacked???

Det med startsiden har stået på i knapt et år...

Det vil sige at din startside, og dele af din browser er kapret af hård spyware, i dette tilfælde Coolwebsearch, som er en af de værste. Det vil jeg fjerne for dig, men vær forberedt på at det er noget genstridigt skidt. Jeg vender tilbage.

Start med at afinstallere Messenger plus, det er sikkert der skidtet kommer fra.

Spyware doctor skal også slettes, den er mistænkt for selv at lægge snavs.

Så henter du CWShredder http://www.spywareinfo.com/downloads/tools/CWShredder.exe

Aboutbuster her http://www.atribune.org/downloads/AboutBuster.zip

Læg dem på skrivebordet, de skal bruges senere.

oki. JEg prøver...

Det øverste link er tilsyneladende dødt, altså http://www.spywareinfo.com/downloads/tools/CWShredder.exe

http://danborg.org/spy/CWS/cwshredder.exe

takker

begge programmer er slettet

næste trin?

I øvrigt tak for din hjælpsomhed. :-)

Det tager lige lidt tid, jeg har ikke endnu fået lavet en "opskrift" jeg bare kan kopiere ind med det der skal fixes, håber at du har lidt tålmodighed.

Jeps, det har jeg. :-) Tag dig blot god tid.

Ok tak..

Jeg har lånt "lægget" fra andersenph, jeg håber ikke at han tager det ilde op, men det er jo ikke dit problem *S*

Det er noget af en omgang, så tag dig den tid det tager. Jeg går til køjs nu, så hvis du lægger den nye, og forhåbentlig rene log ind bagefter, så kigger jeg på den i løbet af dagen.

Genstart i FEJLSIKRET tilstand (tryk f8 flere gange under opstart)

Sæt flueben ved disse linier

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.hotsearchbox.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.searchv.com/1/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = http://www.searchv.com/1/
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.searchv.com/5/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = http://www.searchv.com/1/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://dyoafs.t.muxa.cc/h.php?aid=420 (obfuscated)
R3 - Default URLSearchHook is missing
        O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://195.225.17
      O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe






Vi skal kunne se dine skjulte filer for at finde snavs, der skal slettes manuelt. Det er en del af processen.
Åbn en tilfældig mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

Søg og slet følgende stadig i fejlsikret tilstand:

C:\foo.mht!http://195.225.17  Kun filen

C:\Recycled\Q330995.exe      Mappen "recycled"





Så starter du aboutbuster. Fjern det den finder.

Nu kører du en scanning med Ad-Aware og CWShredder og fjerner, hvad de finder.

Angående CWShredder:
Pak zipfilen ud i en mappe.
Kør programmet, tjek for updates, afbryd din internetforbindelse fysisk (stikket ud), luk alle vinduer undtaget cwshredder, klik på Fix, den scanner nu, når den er færdigt klik på Next, klik på Exit.

Så skal du lige en tur i registrerings databasen:
Start->Kør, skriv- regedit klik OK.

Klik dig frem til:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
Tjek om der en nøgle/tekst der hedder-About:blank, hvis ja, så slet den
Klik på - Denne Computer, i regedit vinduet, klik- rediger-søg, skriv: About:blank tryk- Enter. Slet den, tryk F3 -slet - F3 -slet indtil søgningen er færdig.
Samme fremgangsmåde med-HomeOldSP


Og slet indholdet i din temp mappe: :\DOCUME~1\Johan Ask Nielsen\LOKALE~1\Temp\
Samt midlertidige internet filer-kontrolpanel-internetindstillinger-generelt-slet filer og cookies

Genstart, Og læg venligst en ny log ind tak

Tilføjelse: Efter linierne som du har markeret i HijackThis gør du dette:

Luk alle andre vinduer end HijackThis og klik "fix checked"

Jeps, det skulle være gjort nu.

Her er loggen:

Logfile of HijackThis v1.98.2
Scan saved at 02:27:02, on 11-08-2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Documents and Settings\Johan Ask Nielsen\Desktop\hijackthis.exe
C:\WINDOWS\System32\wuauclt.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [THGuard] "C:\Program Files\TrojanHunter 3.7\THGuard.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {0EC4C9E3-EC6A-11CF-8E3B-444553540000} (WaveTab Control) - http://www.riffinteractive.com/setup/RiffLick.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20020713/qtinstall.info.apple.com/samantha/us/win/QuickTimeInstaller.exe
O16 - DPF: {470F8EBB-1D1D-4D39-AE1D-2B6BCBFF0326} (DKMusicAwds.clsEntryPoint) - http://www.danishmusicawards.dk/DKMusicAwds.CAB
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2002092801/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab28177.cab

Der ser ud til at stadigt at være noget med MSN...

Jeg fik i øvrigt en fejlmeddelse ved opstarten, noget med at MSN plus ikke var installeret korrekt - men det har sådan set afinstalleret, så det forekommer mig lidt mærkeligt.

Du er godt nok hurtig, tjekker med det samme. Prøv lige at slå systemgendannelse fra, og genstart.

messenger fix den her
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"

Når du har fixet den 04, så er din log ren.

For at få ryddet helt op, så hent lige CCleaner her http://www.ccleaner.com/download112.php
. Brug standard indstillinger, klik "run cleaner. Derefter, fanebladet"issues",
>scan for issues, når den er færdig> fix selected issues, du får nu et tilbud om backup, det er ikke
nødvendigt, den tager ikke for meget. Genstart.

Så vil jeg anbefale at du går på windowsupdate, og tjekker for opdateringer, og bagefter kigger herind http://www.spywarefri.dk/ for at få gode råd om, hvordan du sikrer dig mod spyware.

Du skulle nu kunne sætte din startside, og forhåbentlig beholde den for dig selv.

Jeps, det virker. Jeg siger tusind tak!

Læg evt. et svar.

Velbekommen, det er jo herligt at det virker. Btw, hvis du ikke har gjort det, så slå lige systemgendannelse til igen *S*

Jep, det tænkte jeg lige, da jeg havde slukket sent i går. Men havde allerede glemt det :-)

Det er i øvrigt utroligt hvor hurtigt jeg helt havde glemt min computer kan køre! :-)

Jeg siger tak igen!

Jeg takker også!