Søg
Avatar billede Deeds Juniormester
15. august 2004 - 16:17 Der er 16 kommentarer og
2 løsninger

Spyware (Prosearching)

Hej, jeg har som så mange andre uheldige fået spyware på min computer. Tidligere havde jeg det også, hvor der var problemer med en toolbar som hed "Search". Hver gang jeg åbnede for en internetside var Search-baren der. Dog fik jeg det heldigvis slettet, idet jeg fandt det inde i "Kontrolpanelet" og derefter "Tilføj eller fjern programmer".
Efter et par måneder, hvor min computer igen var fri, dukkede en ny toolbar op, som hedder "Prosearching". Det fremkalder bl.a pornoikoner på mit skrivebord og overalt på min computer + internettet går langsommere. Jeg har forsøgt med mange forskellige programmer at få det fjernet uden held. Jeg har også forsøgt manuelt at slette forskellige filer, igen uden nogen synderlig hjælp. Af programmer har jeg bl.a prøvet mig frem med:

> Spybot - Search & destroy
> Adaware
> Adaware SE Personal 1.2
> HijackThis

Derudover også med 2-3 andre programmer, hvor man dog skal registreres, hvilket jo koster penge i dyre domme og det har jeg altså ikke lyst til at betale. Her er 2 af dem:

> NoAdware
> Spyware Nuker 2004

Ingen af de øverste har hjulpet tilstrækkeligt. De har kun fundet "mindre" farlige filer, men ikke selve problemet. "Spyware Nuker" har fundet de filer, som forårsager problemet, men igen - det koster penge. Efter sigende skulle HijackThis være et godt program til at fjerne Spyware helt, men jeg har ikke rigtig kunne finde ud af det.

Håber på hjælp, så jeg kan slippe af med det én gang for alle - forhåbentligt :)
Avatar billede Deeds Juniormester
15. august 2004 - 16:28 #1
Logfile of HijackThis v1.98.0
Scan saved at 16:33:24, on 15-08-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\MMTray.exe
C:\WINDOWS\System32\MMTray2k.exe
C:\WINDOWS\System32\MMTrayLSI.exe
C:\Programmer\NuCam Corp\CamCheck\CamCheck.exe
C:\WINDOWS\TEMP\sidvff.exe
C:\Programmer\Fælles filer\Logitech\QCDriver\LVCOMS.EXE
c:\progra~1\intern~1\iexplore.exe
c:\progra~1\intern~1\iexplore.exe
C:\Documents and Settings\thomas\Application Data\uoea.exe
C:\WINDOWS\system32\winmm64.exe
C:\WINDOWS\system32\32mshh32.exe
C:\WINDOWS\System32\devldr32.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\twain_32\SiPix\SCBlink2\Srvany.exe
C:\WINDOWS\System32\LckFldService.exe
C:\WINDOWS\twain_32\SiPix\SCBlink2\USBPNP.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programmer\MSN Messenger\msnmsgr.exe
C:\Programmer\eDonkey2000\edonkey2000.exe
C:\DOCUME~1\thomas\LOKALE~1\Temp\cxqx6p06wr.exe
C:\DOCUME~1\thomas\LOKALE~1\Temp\pr06tq7wkbfp.exe
C:\DOCUME~1\thomas\LOKALE~1\Temp\m9qp7l5.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\DOCUME~1\thomas\LOKALE~1\Temp\8jzwz1ne22s.exe
C:\Documents and Settings\thomas\Skrivebord\hijackthis.exe
C:\WINDOWS\System32\NET.exe
C:\WINDOWS\System32\NET.exe
C:\WINDOWS\System32\NET.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://countere.com/?a=2&b=cfh
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://countere.com/?a=2&b=cfh
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://countere.com/?a=2&b=cfh
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://countere.com/?b=cfh
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://countere.com/?a=2&b=cfh
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.hfzohxrfcqswhfsipvqdrnrl.com/BEqNV_ZuJVqFUx_DUc9qYk_coS9Z0sRXwixyJdPyAVHlOPOtoaz_SUZY4HuFWqQX.php
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://countere.com/?a=2&b=cfh
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://countere.com/?a=2&b=cfh
R3 - URLSearchHook: (no name) - _{00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmer\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {6AFD6122-9712-2694-8070-65550AA12A3E} - C:\WINDOWS\System32\csaofu.dll (file missing)
O2 - BHO: (no name) - {95FAD5A8-EA77-87D6-E847-8DD2454F4FF4} - C:\PROGRA~1\SETUPF~1\amok drive.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [MMTray] MMTray.exe
O4 - HKLM\..\Run: [MMTray2K] MMTray2k.exe
O4 - HKLM\..\Run: [MMTrayLSI] MMTrayLSI.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CamCheck] C:\Programmer\NuCam Corp.\CamCheck\CamCheck.exe
O4 - HKLM\..\Run: [sidvff.exe] C:\WINDOWS\TEMP\sidvff.exe
O4 - HKLM\..\Run: [akcllhlrdf] C:\WINDOWS\System32\mrdixw.exe
O4 - HKLM\..\Run: [ihin] C:\WINDOWS\ihin.exe
O4 - HKLM\..\Run: [svqbwfmx] C:\WINDOWS\svqbwfmx.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Programmer\Fælles filer\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [pir] C:\WINDOWS\pir.exe
O4 - HKLM\..\Run: [Barb Site] C:\PROGRA~1\FLAP TRANS\Ref Cool.exe
O4 - HKLM\..\Run: [ooze dog license that] C:\Documents and Settings\All Users\Application Data\way dumb ooze dog\Does camp.exe
O4 - HKCU\..\Run: [Steam] C:\Programmer\Steam\Steam.exe -silent
O4 - HKCU\..\Run: [Uwci] C:\Documents and Settings\thomas\Application Data\uoea.exe
O4 - HKCU\..\Run: [SpywareGuard] C:\WINDOWS\system32\winmm64.exe
O4 - HKCU\..\Run: [32mshh32] C:\WINDOWS\system32\32mshh32.exe
O4 - HKCU\..\Run: [SpySweeper] "C:\Programmer\Webroot\Spy Sweeper\SpySweeper.exe" /0
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O16 - DPF: {53B3ABEA-4445-44D9-A01E-088144CAABD9} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/da/filesharingctrl.cab
O16 - DPF: {AD688740-5246-40C3-AF27-090006046834} - http://www.xpehbam.biz/5/load.exe
O16 - DPF: {B94B4225-E02E-4D3F-BADB-026F1E2F3AD7} (HttpDownloader Control) - http://www.instantplugin.com/SexDownloader.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.bgbank.dk/html/activex/e-Safekey/BG/e-Safekey.cab
Avatar billede arlet Juniormester
15. august 2004 - 16:31 #2
løber den igennem
Avatar billede arlet Juniormester
15. august 2004 - 16:40 #3
Flyt først filen Hijackthis til en mappe oprettet kun til den.

Du skal nu til at i gang med at fixe:

Deaktiver systemgendannelse:
http://www.arlet.dk/systemgendannelsen.htm

Kør Hijackthis, scan, sæt flueben ved linierne listet her, luk alle vinduer undtaget Hijackthis, klik på fix checked, luk hijackthis igen.
Dobbelttjek, så alt kommer med.

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://countere.com/?a=2&b=cfh
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://countere.com/?a=2&b=cfh
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://countere.com/?a=2&b=cfh
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://countere.com/?b=cfh
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://countere.com/?a=2&b=cfh
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.hfzohxrfcqswhfsipvqdrnrl.com/BEqNV_ZuJVqFUx_DUc9qYk_coS9Z0sRXwixyJdPyAVHlOPOtoaz_SUZY4HuFWqQX.php
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://countere.com/?a=2&b=cfh
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://countere.com/?a=2&b=cfh
R3 - URLSearchHook: (no name) - _{00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)

O2 - BHO: (no name) - {6AFD6122-9712-2694-8070-65550AA12A3E} - C:\WINDOWS\System32\csaofu.dll (file missing)
O2 - BHO: (no name) - {95FAD5A8-EA77-87D6-E847-8DD2454F4FF4} - C:\PROGRA~1\SETUPF~1\amok drive.exe

O4 - HKLM\..\Run: [sidvff.exe] C:\WINDOWS\TEMP\sidvff.exe
O4 - HKLM\..\Run: [akcllhlrdf] C:\WINDOWS\System32\mrdixw.exe
O4 - HKLM\..\Run: [ihin] C:\WINDOWS\ihin.exe
O4 - HKLM\..\Run: [svqbwfmx] C:\WINDOWS\svqbwfmx.exe
O4 - HKLM\..\Run: [pir] C:\WINDOWS\pir.exe
O4 - HKLM\..\Run: [Barb Site] C:\PROGRA~1\FLAP TRANS\Ref Cool.exe
O4 - HKLM\..\Run: [ooze dog license that] C:\Documents and Settings\All Users\Application Data\way dumb ooze dog\Does camp.exe
O4 - HKCU\..\Run: [Uwci] C:\Documents and Settings\thomas\Application Data\uoea.exe
O4 - HKCU\..\Run: [SpywareGuard] C:\WINDOWS\system32\winmm64.exe
O4 - HKCU\..\Run: [32mshh32] C:\WINDOWS\system32\32mshh32.exe

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

O16 - DPF: {53B3ABEA-4445-44D9-A01E-088144CAABD9} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/da/filesharingctrl.cab
O16 - DPF: {AD688740-5246-40C3-AF27-090006046834} - http://www.xpehbam.biz/5/load.exe
O16 - DPF: {B94B4225-E02E-4D3F-BADB-026F1E2F3AD7} (HttpDownloader Control) - http://www.instantplugin.com/SexDownloader.cab



--------------------------------------------------------------------

Åbn en tilfældig mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

--------------------------------------------------------------------

Find og slet manuelt i fejlsikret(f8 ved opstart):

C:\Documents and Settings\thomas\Application Data\uoea.exe
C:\WINDOWS\system32\winmm64.exe
C:\WINDOWS\system32\32mshh32.exe
C:\PROGRA~1\FLAP TRANS\Ref Cool.exe
C:\WINDOWS\System32\mrdixw.exe
C:\WINDOWS\svqbwfmx.exe
C:\WINDOWS\pir.exe

C:\WINDOWS\TEMP <- tøm mappen
C:\DOCUME~1\thomas\LOKALE~1\Temp <- tøm mappen

Derefter genstarter du og sender en ny log herind, for at se om vi har fået den helt ren.
Først når din log er endelig godkendt, må du aktiver din systemgendannelse igen.
Avatar billede arlet Juniormester
15. august 2004 - 16:41 #4
NoAdware
Spyware Nuker 2004

De 2 skal du absolut ikke invester i, da de fjerner spyware, men lægger sit eget spyware ind i stedet for..
Avatar billede Deeds Juniormester
15. august 2004 - 17:15 #5
Har gjort følgende af din vejledning indtil hvor jeg skal slette nævnte filer manuelt i fejlsikret. Har genstartet 2 gange, men hvor og hvornår skal man trykke F8?
Avatar billede arlet Juniormester
15. august 2004 - 17:16 #6
Du skal trykke f8 lige når den genstarter, altså inden bootmenuen og windows billedet..
Avatar billede Deeds Juniormester
15. august 2004 - 17:59 #7
Kunne ik finde frem til C:\DOCUME~1\thomas\LOKALE~1\Temp

Kunne ik slette filen nuc9A i C:\WINDOWS\TEMP

Har slettet de andre. Sender en ny logfile:
Avatar billede Deeds Juniormester
15. august 2004 - 18:01 #8
Logfile of HijackThis v1.98.0
Scan saved at 18:05:32, on 15-08-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\MMTray.exe
C:\WINDOWS\System32\MMTray2k.exe
C:\WINDOWS\System32\MMTrayLSI.exe
C:\Programmer\NuCam Corp\CamCheck\CamCheck.exe
C:\Programmer\Fælles filer\Logitech\QCDriver\LVCOMS.EXE
C:\Programmer\Fælles filer\Logitech\QCDriver\LVCOMS.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\devldr32.exe
C:\WINDOWS\twain_32\SiPix\SCBlink2\Srvany.exe
C:\WINDOWS\System32\LckFldService.exe
C:\WINDOWS\twain_32\SiPix\SCBlink2\USBPNP.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\thomas\Skrivebord\HijackThis\hijackthis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://countere.com/?a=2&b=cfh
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://countere.com/?a=2&b=cfh
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://countere.com/?a=2&b=cfh
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://countere.com/?a=2&b=cfh
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.hpasjjqzopixzpforugbe.com/BEqNV_ZuJVqFUx_DUc9qYk_coS9Z0sRXwixyJdPyAVEzj8IbARVvNUZY4HuFWqQX.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://countere.com/?a=2&b=cfh
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://countere.com/?a=2&b=cfh
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmer\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [MMTray] MMTray.exe
O4 - HKLM\..\Run: [MMTray2K] MMTray2k.exe
O4 - HKLM\..\Run: [MMTrayLSI] MMTrayLSI.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CamCheck] C:\Programmer\NuCam Corp.\CamCheck\CamCheck.exe
O4 - HKLM\..\Run: [svqbwfmx] C:\WINDOWS\svqbwfmx.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Programmer\Fælles filer\Logitech\QCDriver\LVCOMS.EXE
O4 - HKCU\..\Run: [Steam] C:\Programmer\Steam\Steam.exe -silent
O4 - HKCU\..\Run: [SpySweeper] "C:\Programmer\Webroot\Spy Sweeper\SpySweeper.exe" /0
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.bgbank.dk/html/activex/e-Safekey/BG/e-Safekey.cab
Avatar billede Deeds Juniormester
16. august 2004 - 07:27 #9
Skal jeg sende en ny logfile?

Eftersom du ik har svaret tilbage og jeg ikke har aktiveret symstemdannelse endnu, tror jeg Spyware har sat sig fast igen
Avatar billede arlet Juniormester
16. august 2004 - 14:44 #10
Har desværre ikke været ved computeren.

Den er ikke helt god endnu.

Hent og kør aboutBuster og CWShredder herfra : www.arlet.dk/special.htm
genstart og ny hijackthis log
Avatar billede Deeds Juniormester
16. august 2004 - 15:20 #11
Logfile of HijackThis v1.98.0
Scan saved at 15:24:21, on 16-08-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\MMTray.exe
C:\WINDOWS\System32\MMTray2k.exe
C:\WINDOWS\System32\MMTrayLSI.exe
C:\Programmer\NuCam Corp\CamCheck\CamCheck.exe
C:\WINDOWS\svqbwfmx.exe
C:\Programmer\Fælles filer\Logitech\QCDriver\LVCOMS.EXE
C:\Programmer\Fælles filer\Logitech\QCDriver\LVCOMS.EXE
c:\progra~1\intern~1\iexplore.exe
C:\Programmer\Steam\Steam.exe
c:\progra~1\intern~1\iexplore.exe
C:\WINDOWS\System32\devldr32.exe
C:\WINDOWS\twain_32\SiPix\SCBlink2\Srvany.exe
C:\WINDOWS\System32\LckFldService.exe
C:\WINDOWS\twain_32\SiPix\SCBlink2\USBPNP.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\thomas\Skrivebord\HijackThis\hijackthis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.chxmfmyuxhi.net/DnaHrLRF6R_NuGnPdV0NxYIi0lMG1gqVajVEgSJ2o2gU2Dzuoh1q6_1n/tNGfDEI.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://countere.com/?a=2&b=cfh
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://countere.com/?a=2&b=cfh
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmer\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {95FAD5A8-EA77-87D6-E847-8DD2454F4FF4} - C:\PROGRA~1\SETUPF~1\amok drive.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [MMTray] MMTray.exe
O4 - HKLM\..\Run: [MMTray2K] MMTray2k.exe
O4 - HKLM\..\Run: [MMTrayLSI] MMTrayLSI.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CamCheck] C:\Programmer\NuCam Corp.\CamCheck\CamCheck.exe
O4 - HKLM\..\Run: [svqbwfmx] C:\WINDOWS\svqbwfmx.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Programmer\Fælles filer\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [Barb Site] C:\PROGRA~1\FLAPTR~1\Ref Cool.exe
O4 - HKLM\..\Run: [ooze dog license that] C:\Documents and Settings\All Users\Application Data\way dumb ooze dog\TrustAnte.exe
O4 - HKCU\..\Run: [Steam] C:\Programmer\Steam\Steam.exe -silent
O4 - HKCU\..\Run: [SpySweeper] "C:\Programmer\Webroot\Spy Sweeper\SpySweeper.exe" /0
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.bgbank.dk/html/activex/e-Safekey/BG/e-Safekey.cab
Avatar billede arlet Juniormester
16. august 2004 - 15:25 #12
Find og slet disse manuelt:

C:\PROGRA~1\FLAPTR~1\Ref Cool.exe
C:\WINDOWS\svqbwfmx.exe
C:\Documents and Settings\All Users\Application Data\way dumb ooze dog\TrustAnte.exe

fix i hijackthis:

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.chxmfmyuxhi.net/DnaHrLRF6R_NuGnPdV0NxYIi0lMG1gqVajVEgSJ2o2gU2Dzuoh1q6_1n/tNGfDEI.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://countere.com/?a=2&b=cfh
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://countere.com/?a=2&b=cfh


O4 - HKLM\..\Run: [svqbwfmx] C:\WINDOWS\svqbwfmx.exe
O4 - HKLM\..\Run: [Barb Site] C:\PROGRA~1\FLAPTR~1\Ref Cool.exe
O4 - HKLM\..\Run: [ooze dog license that] C:\Documents and Settings\All Users\Application Data\way dumb ooze dog\TrustAnte.exe

genstart og ny log
Avatar billede Deeds Juniormester
16. august 2004 - 15:44 #13
Logfile of HijackThis v1.98.0
Scan saved at 15:47:45, on 16-08-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\MMTray.exe
C:\WINDOWS\System32\MMTray2k.exe
C:\WINDOWS\System32\MMTrayLSI.exe
C:\Programmer\NuCam Corp\CamCheck\CamCheck.exe
C:\Programmer\Fælles filer\Logitech\QCDriver\LVCOMS.EXE
C:\Programmer\Fælles filer\Logitech\QCDriver\LVCOMS.EXE
C:\Programmer\Steam\Steam.exe
C:\WINDOWS\System32\devldr32.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\twain_32\SiPix\SCBlink2\Srvany.exe
C:\WINDOWS\System32\LckFldService.exe
C:\WINDOWS\twain_32\SiPix\SCBlink2\USBPNP.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\System32\wuauclt.exe
c:\progra~1\intern~1\iexplore.exe
c:\progra~1\intern~1\iexplore.exe
C:\Documents and Settings\thomas\Skrivebord\HijackThis\hijackthis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.fcnlfdezrygjwdo.com/DnaHrLRF6R_NuGnPdV0NxYIi0lMG1gqVajVEgSJ2o2gEiTEc3WCyVe1n/tNGfDEI.html
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmer\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {95FAD5A8-EA77-87D6-E847-8DD2454F4FF4} - C:\PROGRA~1\SETUPF~1\amok drive.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [MMTray] MMTray.exe
O4 - HKLM\..\Run: [MMTray2K] MMTray2k.exe
O4 - HKLM\..\Run: [MMTrayLSI] MMTrayLSI.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CamCheck] C:\Programmer\NuCam Corp.\CamCheck\CamCheck.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Programmer\Fælles filer\Logitech\QCDriver\LVCOMS.EXE
O4 - HKCU\..\Run: [Steam] C:\Programmer\Steam\Steam.exe -silent
O4 - HKCU\..\Run: [SpySweeper] "C:\Programmer\Webroot\Spy Sweeper\SpySweeper.exe" /0
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.bgbank.dk/html/activex/e-Safekey/BG/e-Safekey.cab

Kunne ikke finde C:\WINDOWS\svqbwfmx.exe, manuelt
Avatar billede arlet Juniormester
16. august 2004 - 15:49 #14
Prøv lige at hente den helt nye version 1.98.2 her : http://www.arlet.dk/hjt.htm

derefter fix disse i den:
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.fcnlfdezrygjwdo.com/DnaHrLRF6R_NuGnPdV0NxYIi0lMG1gqVajVEgSJ2o2gEiTEc3WCyVe1n/tNGfDEI.html

O2 - BHO: (no name) - {95FAD5A8-EA77-87D6-E847-8DD2454F4FF4} - C:\PROGRA~1\SETUPF~1\amok drive.exe

genstart og ny hijackthis log
Avatar billede Deeds Juniormester
16. august 2004 - 15:57 #15
Logfile of HijackThis v1.98.2
Scan saved at 16:01:18, on 16-08-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\MMTray.exe
C:\WINDOWS\System32\MMTray2k.exe
C:\WINDOWS\System32\MMTrayLSI.exe
C:\Programmer\NuCam Corp\CamCheck\CamCheck.exe
C:\Programmer\Fælles filer\Logitech\QCDriver\LVCOMS.EXE
C:\Programmer\Fælles filer\Logitech\QCDriver\LVCOMS.EXE
C:\Programmer\Steam\Steam.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programmer\MSN Messenger\msnmsgr.exe
C:\WINDOWS\twain_32\SiPix\SCBlink2\Srvany.exe
C:\WINDOWS\System32\LckFldService.exe
C:\WINDOWS\twain_32\SiPix\SCBlink2\USBPNP.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\thomas\Skrivebord\Ny mappe\hjt.exe
C:\Programmer\Internet Explorer\iexplore.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmer\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [MMTray] MMTray.exe
O4 - HKLM\..\Run: [MMTray2K] MMTray2k.exe
O4 - HKLM\..\Run: [MMTrayLSI] MMTrayLSI.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CamCheck] C:\Programmer\NuCam Corp.\CamCheck\CamCheck.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Programmer\Fælles filer\Logitech\QCDriver\LVCOMS.EXE
O4 - HKCU\..\Run: [Steam] C:\Programmer\Steam\Steam.exe -silent
O4 - HKCU\..\Run: [SpySweeper] "C:\Programmer\Webroot\Spy Sweeper\SpySweeper.exe" /0
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.bgbank.dk/html/activex/e-Safekey/BG/e-Safekey.cab
Avatar billede arlet Juniormester
16. august 2004 - 15:58 #16
Så lykkes det sg..

Så er du ren og kan aktiver din systemgendannelse igen

For at beskytte dig mod snavs har jeg lavet en sikkerhedspakke,
som du kan hente her : www.arlet.dk/pakke.htm
Avatar billede Deeds Juniormester
16. august 2004 - 16:03 #17
Tusind tak Arlet, det var sku fedt du gad hjælpe.

Har lige et sidste spørgsmål... - I øjeblikket har jeg følgende på min computer:

Spy Sweeper
Ad-Aware SE Personal
Spybot - Search & Destroy
Hijackthis
Hijackthis (hjt)
CWShredder
AboutBuster

Skal jeg lade allesammen blive, eller er der nogen som jeg kan undvære?
Avatar billede arlet Juniormester
16. august 2004 - 16:14 #18
Disse 3 skal du lade blive på computeren:
Spy Sweeper
Ad-Aware SE Personal
Spybot - Search & Destroy

Disse skal du bare slette igen:
Hijackthis
Hijackthis (hjt)
CWShredder
AboutBuster

Men kan ikke se at du har et antivirusdprogram?? Her kan du finde sådan et: http://www.arlet.dk/freewareantivirusprogrammer.htm
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Andet sikkerhed kategorien

Titel Indlæg Oprettet Seneste aktivitet
hvilken afløser kan I anbefale? Af jcr18 i Andet sikkerhed 5 17/03/202610:32 18/03/202615:36
Advarsler om datalæk for nogle apps Af nu_igen i Andet sikkerhed 6 02/02/202614:54 03/02/202613:45
Mail fra Yousee ? Svindel? Af nu_igen i Andet sikkerhed 4 13/01/202617:27 14/01/202609:36
Er det sandsynligt, at jeg har været udsat for phishing Af Slettet bruger i Andet sikkerhed 4 13/11/202515:09 14/11/202510:45
Google fake Af johp i Andet sikkerhed 3 27/10/202516:31 28/10/202506:52
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I går 10:38 Indholdsfortegnelse ændrer sig, når jeg gemmer som PDF Af Jan K i Word
06/0419:53 installer mange programmer på en gang Af Overgaard1654 i Andet software
06/0417:48 Min hp Officejet pro 7740 skærer det nederste af billedet i word Af rosmarin i Printere
06/0413:13 Batch OCR Af KurtG i Billedbehandling
06/0410:42 AI integreret i Access Af per2edb i Access
White papers
Flere white papers »