Virus eller hvad?

Hent en hijackthis : http://www.arlet.dk/hjt.htm
læg loggen herind, så ser vi om det er snavs, der er problemet

Hvad er en hijackthis? Log?

Jeg er ikke særlig computerferm, så ikke alt for meget fagsprog :)

Tryk på linket, så står der hvad du skal gøre

Okay nu har jeg været inde på det link (Læg mærke til at jeg har Bearshare hvor Save og Weathercast følger med og Netbank som ikke skal slettes)

Here it comes:

Logfile of HijackThis v1.98.2
Scan saved at 18:51:42, on 22-08-2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\COMMON FILES\CMEII\CMESYS.EXE
C:\PROGRAM FILES\SPYBLOCKER SOFTWARE\SPYBLOCKER.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://your-searcher.com/sp.htm
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://4-counter.com/?a=2&b=ader
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = C:\WINDOWS\system32\blank.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = C:\WINDOWS\system32\searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = C:\WINDOWS\system32\searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = C:\WINDOWS\system32\blank.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\secure.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = C:\WINDOWS\system32\searchbar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = C:\WINDOWS\system32\blank.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = C:\WINDOWS\system32\searchbar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = C:\WINDOWS\system32\blank.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\secure.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = C:\WINDOWS\system32\searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = C:\WINDOWS\system32\searchbar.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = C:\WINDOWS\system32\searchbar.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = C:\WINDOWS\system32\searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://e-plus.cc/search.php?aff_id=46&keyword=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://your-searcher.com/sp.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://4-counter.com/?a=2&b=ader
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\secure.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\secure.html
F1 - win.ini: run=C:\WINDOWS\SYSTEM\SERVICES\IR.EXE
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [WhenUSave] "C:\PROGRA~1\SAVE\Save.exe"
O4 - HKLM\..\Run: [CMESys] "C:\PROGRAM FILES\COMMON FILES\CMEII\CMESYS.EXE"
O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\SYSTEM\SERVICES\IR.EXE
O4 - HKLM\..\Run: [SpyBlocker] C:\PROGRAM FILES\SPYBLOCKER SOFTWARE\spyblocker.exe
O4 - HKCU\..\Run: [WeatherCast] "C:\PROGRA~1\WEATHE~1\Weather.exe" /q
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [Windows Internet Protocol] C:\WINDOWS\SYSTEM32\WINPROC32.EXE
O4 - HKCU\..\Run: [sr64] C:\WINDOWS\SYSTEM\SR64\GIGMAKCI.EXE
O4 - HKCU\..\Run: [windll32.exe] C:\WINDOWS\SYSTEM\windll32.exe
O4 - HKCU\..\Run: [SpywareGuard] C:\WINDOWS\PEMSMS.EXE
O4 - HKCU\..\Run: [xpsystem] C:\WINDOWS\SYSTEM\SERVICES\IR.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted Zone: *.e-cbs.dk
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O16 - DPF: {FFA6CE4C-2199-4A4F-9542-12E0163D6841} - http://sessa.isprime.com:8080/tel2net/CABDialer.cab
O21 - SSODL: System - {C62ABE42-DE8B-47F0-BA41-5356D887F51B} - C:\WINDOWS\system32\system32.

Jeg havde lukket visse programmer som jeg msitænker for at være Spyware inden jeg kørte den der hijackthis. Har det nogen indflydelse på dens fundne resultater?

kigger på den

Ja det har det i høj grad.

Genstart og lad alle programmer køre. Scan med hijackthis og læg en ny log herind.
Vi skal allerhelst se alt, der kører på din maskine.
Ellers kan vi jo ikke fjerne det. Bearshare er et fildelingsprogram. Det skal du af med. Det er derfra du får skidtet.

Hent og kør aboutBuster og CWShredder herfra : www.arlet.dk/special.htm
genstart

Flyt derefter filen Hijackthis til en mappe oprettet kun til den.

Du skal nu til at i gang med at fixe:

Deaktiver systemgendannelse:
http://www.arlet.dk/systemgendannelsen.htm

Kør Hijackthis, scan, sæt flueben ved linierne listet her, luk alle vinduer undtaget Hijackthis, klik på fix checked, luk hijackthis igen.
Dobbelttjek, så alt kommer med.


R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://your-searcher.com/sp.htm
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://4-counter.com/?a=2&b=ader
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = C:\WINDOWS\system32\blank.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = C:\WINDOWS\system32\searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = C:\WINDOWS\system32\searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = C:\WINDOWS\system32\blank.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\secure.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = C:\WINDOWS\system32\searchbar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = C:\WINDOWS\system32\blank.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = C:\WINDOWS\system32\searchbar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = C:\WINDOWS\system32\blank.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\secure.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = C:\WINDOWS\system32\searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = C:\WINDOWS\system32\searchbar.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = C:\WINDOWS\system32\searchbar.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = C:\WINDOWS\system32\searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://e-plus.cc/search.php?aff_id=46&keyword=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://your-searcher.com/sp.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://4-counter.com/?a=2&b=ader
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\secure.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\secure.html

F1 - win.ini: run=C:\WINDOWS\SYSTEM\SERVICES\IR.EXE

O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)

O4 - HKLM\..\Run: [CMESys] "C:\PROGRAM FILES\COMMON FILES\CMEII\CMESYS.EXE"
O4 - HKCU\..\Run: [Windows Internet Protocol] C:\WINDOWS\SYSTEM32\WINPROC32.EXE
O4 - HKCU\..\Run: [sr64] C:\WINDOWS\SYSTEM\SR64\GIGMAKCI.EXE
O4 - HKCU\..\Run: [windll32.exe] C:\WINDOWS\SYSTEM\windll32.exe
O4 - HKLM\..\Run: [WhenUSave] "C:\PROGRA~1\SAVE\Save.exe"
O4 - HKCU\..\Run: [WeatherCast] "C:\PROGRA~1\WEATHE~1\Weather.exe" /q

O15 - Trusted Zone: *.e-cbs.dk
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net

O16 - DPF: {FFA6CE4C-2199-4A4F-9542-12E0163D6841} - http://sessa.isprime.com:8080/tel2net/CABDialer.cab

O21 - SSODL: System - {C62ABE42-DE8B-47F0-BA41-5356D887F51B} - C:\WINDOWS\system32\system32.


--------------------------------------------------------------------

Åbn en tilfældig mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

--------------------------------------------------------------------

Find og slet manuelt i fejlsikret(f8 ved opstart):

C:\PROGRA~1\SAVE<- hele mappen
C:\PROGRAM FILES\COMMON FILES\CMEII <- hele mappen
C:\PROGRA~1\WEATHE~1 <- hele mappen

Derefter genstarter du og sender en ny log herind, for at se om vi har fået den helt ren.
Først når din log er endelig godkendt, må du aktiver din systemgendannelse igen.

Jeg har taget weathercast og save med, da det er direkte snavs..

Tak for svaret, det vil jeg prøve at gøre, men det kommer nok til at tage lidt tid.

Lige et vigtigt spørgsmål:

Hvis jeg køber en ny computer og installerer et andet windows og sætter min nuværende harddisk til, vil alt snavset så følge med og operere på den nye computer?

Ja det vil det uden tvivl.

Hvorfor vil det uden tvivl det? Såvidt jeg kan se ligger snavset i Windows-mappen og Programs, så hvis man kun overfører enkelte udvalgte filer burde man da være sikker?!

Der er jo ikke tale om at installere samme windows på den nye computer, men blot at overføre ngl enkelte filer..

Så skal du scanne dine filer igennem med denne scanner.
Virus gammer sig alle vegne.

http://www.mwti.net/antivirus/free_utilities.asp
Det er ligegyldigt hvilket af de 7 links du downloader fra.

Inde i opsætningen sætter du den til at scanne alt.

Okay, tak for linket

Men er det nødvendigt hvis jeg kun overfører tekst-, musik- og videofiler? Og altså ikke deciderede programmer?

Hvis du ved hvor du har de flim og musik fra er det vel ok. Mens hvis du har downloadet dem, ville jeg nok tjekke dem for en sikkerheds skyld :O)

Okay, jeg skal nu til at gå i gang med jeres råd. Hvis jeg har forstået det rigtigt, skal jeg gøre tingene i denne rækkefølge:

1)enstart og lad alle programmer køre. Scan med hijackthis og læg en ny log herind.

2) Hent og kør aboutBuster og CWShredder herfra : www.arlet.dk/special.htm
genstart

3)Flyt derefter filen Hijackthis til en mappe oprettet kun til den.

4)Deaktiver systemgendannelse:
http://www.arlet.dk/systemgendannelsen.htm

5)Åbn en tilfældig mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

6) Find og slet manuelt i fejlsikret(f8 ved opstart):

C:\PROGRA~1\SAVE<- hele mappen
C:\PROGRAM FILES\COMMON FILES\CMEII <- hele mappen
C:\PROGRA~1\WEATHE~1 <- hele mappen

7) Derefter genstarter du og sender en ny log herind, for at se om vi har fået den helt ren. Først når din log er endelig godkendt, må du aktiver din systemgendannelse igen.

Håber det er rigtigt, går i gang nu. Tak for rådene :)

Hov, lige før jeg går i gang, et enkelt spørgsmål:

3)Flyt derefter filen Hijackthis til en mappe oprettet kun til den.

Hvis jeg gør dette vil det blive umuligt for mig at køre Hijackthis senere, da jeg jo ikke kan se indholdet af mapper? Jeg bliver jo nødt til at have den liggende på skrivebordet?!

Jeg har nu fuldført:

1)enstart og lad alle programmer køre. Scan med hijackthis og læg en ny log herind.

------------------
Den nye log:


Logfile of HijackThis v1.98.2
Scan saved at 23:38:27, on 22-08-2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\SAVE\SAVE.EXE
C:\PROGRAM FILES\SPYBLOCKER SOFTWARE\SPYBLOCKER.EXE
C:\WINDOWS\SYSTEM\CTFMON.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://your-searcher.com/sp.htm
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://4-counter.com/?a=2&b=ader
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = C:\WINDOWS\system32\blank.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = C:\WINDOWS\system32\searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = C:\WINDOWS\system32\searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = C:\WINDOWS\system32\blank.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\secure.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = C:\WINDOWS\system32\searchbar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = C:\WINDOWS\system32\blank.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = C:\WINDOWS\system32\searchbar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = C:\WINDOWS\system32\blank.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\secure.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = C:\WINDOWS\system32\searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = C:\WINDOWS\system32\searchbar.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = C:\WINDOWS\system32\searchbar.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = C:\WINDOWS\system32\searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://e-plus.cc/search.php?aff_id=46&keyword=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://your-searcher.com/sp.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://4-counter.com/?a=2&b=ader
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\secure.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\secure.html
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [WhenUSave] "C:\PROGRA~1\SAVE\Save.exe"
O4 - HKLM\..\Run: [CMESys] "C:\PROGRAM FILES\COMMON FILES\CMEII\CMESYS.EXE"
O4 - HKLM\..\Run: [SpyBlocker] C:\PROGRAM FILES\SPYBLOCKER SOFTWARE\spyblocker.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [sr64] C:\WINDOWS\SYSTEM\SR64\GIGMAKCI.EXE
O4 - HKCU\..\Run: [SpywareGuard] C:\WINDOWS\PEMSMS.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted Zone: *.e-cbs.dk
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O16 - DPF: {FFA6CE4C-2199-4A4F-9542-12E0163D6841} - http://sessa.isprime.com:8080/tel2net/CABDialer.cab

---------------------

Jeg går nu i gang med

2) Hent og kør aboutBuster og CWShredder herfra : www.arlet.dk/special.htm
genstart

Når jeg klikker på linket til CWShredder downloader den ikke programmet, men fører  mig hen til denne side:

http://www.softpedia.com/public/scripts/downloadhero/10-17-150/

Det andet link virker ikke. Hvad skal jeg gøre?

Jeg prøver at trykke på den der hedder Mirror 1 local, og håber at det er programmet..

Det var det heldigvis. Har nu kørt det, og den har ordnet følgende:

Done!
Removed from your system:
- CWS.Svchost32
- CWS.Googlems
- CWS.Smartsearch
- CWS.Yexe
- CWS.Jksearch
- 23 infected IE registry values

Windows ME (4.90.3000 )
CWShredder v1.59.1
Written by Merijn - merijn@spywareinfo.com

Jeg genstarter nu og henter deretfter aboutBuster

Du er på rette vej, men kom lige med en log inden du kører aboutbuster. Det er ikke sikkert den er nødvendig.

Okay, her er en log før jeg kører AboutBuster:

ogfile of HijackThis v1.98.2
Scan saved at 09:51:15, on 23-08-2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\SAVE\SAVE.EXE
C:\PROGRAM FILES\SPYBLOCKER SOFTWARE\SPYBLOCKER.EXE
C:\WINDOWS\SYSTEM\CTFMON.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [WhenUSave] "C:\PROGRA~1\SAVE\Save.exe"
O4 - HKLM\..\Run: [CMESys] "C:\PROGRAM FILES\COMMON FILES\CMEII\CMESYS.EXE"
O4 - HKLM\..\Run: [SpyBlocker] C:\PROGRAM FILES\SPYBLOCKER SOFTWARE\spyblocker.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [sr64] C:\WINDOWS\SYSTEM\SR64\GIGMAKCI.EXE
O4 - HKCU\..\Run: [SpywareGuard] C:\WINDOWS\PEMSMS.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted Zone: *.e-cbs.dk
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O16 - DPF: {FFA6CE4C-2199-4A4F-9542-12E0163D6841} - http://sessa.isprime.com:8080/tel2net/CABDialer.cab

Er det stadig nødvendigt at køre AboutBuster?

Nej det er det ikke.

Start op i fejlsikret og fix:
O4 - HKLM\..\Run: [WhenUSave] "C:\PROGRA~1\SAVE\Save.exe"
O4 - HKLM\..\Run: [CMESys] "C:\PROGRAM FILES\COMMON FILES\CMEII\CMESYS.EXE"
O4 - HKCU\..\Run: [sr64] C:\WINDOWS\SYSTEM\SR64\GIGMAKCI.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted Zone: *.e-cbs.dk
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net

Søg efter følgende filer:
C:\PROGRA~1\SAVE\Save.exe>>>>slet mappen SAVE
C:\PROGRAM FILES\COMMON FILES\CMEII>>>>slet mappen CMEII
C:\WINDOWS\SYSTEM\SR64>>>>slet mappen SR64

Genstart og ny log please :O)

Okay, men hvordan skal jeg fixe det?

Jeg er ikke så ferm til computer, så skriv det venligst i idiotsikret form :)

Og hvordan skal jeg søge efter de filer du har listet (Save osv)? Det er jo netop i søgefunktionen at den bl.a ikke kan vise filernes ikoner, så jeg kan ikke slette dem..?

Og i stifinder kan den heller ikke vise deres ikoner..

Du går i start -> søg -> søg efter filer og mapper og der skriver du filnavnet ind. Så søger windows selc efter dem. Slet dem du finder :O)

Når du skal fixe den jeg beder dig om skal du gøre følgende:

Start Hijackthis op.
Tryk scan.
Sæt vinge ud for de linier jeg har bedt dig om.
Luk alle andre programmer ned. Kun Hijackthis må være åbent.
Tryk på fix.

Jeg håber det er tydeligt nok. Ellers spørger du bare igen :O)

Okay tak, jeg kan sagtens starte op i fejlsikret tilstand og slette de filer med hijackthis..

Men! Du skrev:

"Du går i start -> søg -> søg efter filer og mapper og der skriver du filnavnet ind. Så søger windows selc efter dem. Slet dem du finder :O)"

Det er jo netop denne funktion jeg ikke kan bruge, da den ikke kan vise ikonerne på de filer den finder.. Så hvad gør jeg så?

Og forresten er nedenstående sitet til min skole (cbs - Copenhagen Business School), så den skal vel ikke slettes? :)

O15 - Trusted Zone: *.e-cbs.dk

Jeg har nu slettet filerne med Hijackthis og loggen er som følger:

Logfile of HijackThis v1.98.2
Scan saved at 22:04:35, on 23-08-2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE
C:\WINDOWS\NOTEPAD.EXE

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [SpyBlocker] C:\PROGRAM FILES\SPYBLOCKER SOFTWARE\spyblocker.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [SpywareGuard] C:\WINDOWS\PEMSMS.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
O15 - Trusted Zone: *.e-cbs.dk
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O16 - DPF: {FFA6CE4C-2199-4A4F-9542-12E0163D6841} - http://sessa.isprime.com:8080/tel2net/CABDialer.cab

Derefter skal jeg slette følgende filer:

C:\PROGRA~1\SAVE\Save.exe>>>>slet mappen SAVE
C:\PROGRAM FILES\COMMON FILES\CMEII>>>>slet mappen CMEII
C:\WINDOWS\SYSTEM\SR64>>>>slet mappen SR64

Men hvordan gør jeg det når jeg ikke kan se filikoner i hverken stifinder eller søgefunktionen? Skal jeg bruge DOS-kommandoer? Og hvis ja, hvad skal jeg så skrive?

Så får du lige et lille job. Åbn Notepad/Notesblok du finder det under - Start - Tilbehør. Kopier det her ind i Notepad/Notesblok:

del C:\PROGRA~1\SAVE\Save.exe /f
del C:\PROGRAM FILES\COMMON FILES\CMEII /f
del C:\WINDOWS\SYSTEM\SR64 /f



Gem filen som: clear.bat
I filtypen skal der stå ”Alle filer”
Klik derefter på gem.

Lukke ALLE vinduer - dobbeltklik på filen clear.bat

Ellers er loggen ren nu :O)

Okay tak, har gjort det nu, og loggen er ren.

Så går jeg ud fra at jeg kun mangler dette:

4)Deaktiver systemgendannelse:
http://www.arlet.dk/systemgendannelsen.htm

5)Åbn en tilfældig mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".

7) Derefter genstarter du og sender en ny log herind, for at se om vi har fået den helt ren. Først når din log er endelig godkendt, må du aktiver din systemgendannelse igen.

Er det korrekt? Vil lige være helt sikker før jeg starter..

Sæt prik i "Vis skjulte filer og mapper".

Ups, sku ha set sådan ud:

Okay tak, har gjort det nu, og loggen er ren.

Så går jeg ud fra at jeg kun mangler dette:

4)Deaktiver systemgendannelse:
http://www.arlet.dk/systemgendannelsen.htm

5)Åbn en tilfældig mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".


7) Derefter genstarter du og sender en ny log herind, for at se om vi har fået den helt ren. Først når din log er endelig godkendt, må du aktiver din systemgendannelse igen.

Er det korrekt? Vil lige være helt sikker før jeg starter..

4)Hvis ikke du har deaktiveret din systemgendannelse, så skal du gøre det nu.
Så genstarter du og aktiverer den igen.

5)Hvis ikke du har fjernet flueben under mappeindstillinger skal du ikke foretage dig yderligere.

7) spring det over. Du er renset :O)

Okay så jeg skal altså deaktivere systemgen. og derefter genstarte og så aktivere den igen, og så burde problemet være løst..

Hvorfor skal jeg ikke fjerne flueben under mapper?

Fordi så er dine system mapper skjult og det er bedst sådan.

Og ja det med systemgendannelsen har du forstået rigtigt :O)

Nu har jeg været inde og kigge på systemgendannelse, og der var allerede flueben i 'Disable System Restore' ?? Hvad gør jeg så?

Så enabler du den og ikke mere.
Så er du færdig :O)

Sorry hvis jeg spørger dumt :), men enabler den? Der var allerede fluben ved den i forvejen, og jeg troede at jeg netop skulle sætte flueben i den og derefter genstarte??

Ved at fjerne fluebenet enabler du systemgendannelse og så skal du ikke gøre mere......

Okay, det gør jeg så.. Vender tilbagenår det er gjort..

Så, nu er det gjort, og problemet er stadig ikke løst.

Jeg kan stadigvæk ikke se filers ikoner i mapper.

Det må betyde at det er en fejl i selve Windows og ikke en forårsaget af virus, ikke?

Hvad mener I? Og hvad synes I jeg skal gøre?

Prøv at smide windows disken i drevet og gå i start -> kør og skriv sfc /scannow.
Så får du checket og rettet fejl på xp´s systemfiler.
Husk mellemrum mellem / og c

Jeg bruger ikke XP, men win ME, hvad gør jeg så?

Ja der var jeg lidt for hurtigt ude.
Det kan man ikke.
Man har noget der hedder Systems File Protection i stedet.
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnsetup/html/winme.asp

Henter lige lidt hjælp

Jeg ser kun en løsning på problemet.

Start på din me cdrom og geninstaller windows oveni sig selv. Altså når du skal vælge hvor du skal installere, SKAL du vælge c:\windows, selvom den muligvis brokker sig.
Den vil såvidt jeg husker ikke spørge om den skal formatere, men jeg er lidt rusten i me, så hvis den spørger om formatering, SKAL du svare nej.. Ellers mister du alle dine filer.
Du vil beholde alle dine programmer, indstillinger og filer, men windows vil blive "frisket op" og få kontrolleret at alt er som det skal være.

Okay. Jeg tror jeg vil følge Tonnybrandts råd, det er nemlig hvad jeg selv tænkte der måtte gøres. Jeg får en ven på besøg om en uges tid der er god til computere, så kan han hjælpe med det. Så jeg vender nok tilbage om et stykke tid og fortæller om hvordan det er gået..

Jeg vil sige tak til alle der har hjulpet med råd, det har været fedt :)

Er det noget med at jeg skal dele point ud til folk, eller?

Ja, men vent til du har en løsning med at dele point ud, og bed til den tid dem, du vil tildele point, om at lægge et svar.

Held og lykke med projektet ..

Fik du løst problemet ?

Ja, men problemet var ikke forårsaget af virus :)

Helt iorden. Jeg tror nok vi er flere der gerne vil vide hvordan du løste problemet *s*

Ja ironisk nok så var det bare at vælge 'egenskaber' med et højreklik i en mappe, og så vælge 'vis klassisk' (eller noget) i stedet for 'vis som web-side'.

Hehe, jeg aner ikke hvorfor den pludselig havde valgt en anden opsætning :/

Det var forresten i win ME

"Den anden opsætning" er faktisk standard i en ME. Det hedder Active desktop på engelsk og har været på banen siden Internet Explorer 4 kom frem.

Men fint at du har fundet en løsning der virker.

Du kan lukke spørgsmålet ved at markere den eller de navne nede til venstre der skal have point og trykke accepter.

Kan spørgsmålet lukkes ?

Ja meget gerne, men jeg aner ikke hvordan

Nederst til venstre har du nogle navne på folk der har lagt et svar.

Klik på et eller flere af dem for at markere dem, du vil give point.

Herefter er det blot at klikke accepter, så bliver pointene tildelt og spørgsmålet officielt lukket. *s*

Okay, det gør jeg..

Men du står ikke på den liste, tonnybrandt???

så er der givet 100 point hver til andersen og arlet :)