virus i filen polall1r.exe

Den ligger garanteret i systemgendannelsen, hvis du har XP eller ME

Prøv at slå den fra:
Hvis du ikke ved, hvordan du gør, så kig her: http://www.spywarefri.dk/virusscannere.htm#alle
Genstart.
Scan igen med avg og slet det den finder.
Genstart og aktiver din systemgendannelse igen.

tilføjer..og så tøm hele temp mappen , hvis nødvendigt så gør det i fejlsikret.
Installér Ie privacy keeper og indstil den til at tømme temp mappen automatisk - og også gerne midlertidige internetfiler , da det er her der oftest læggges spyware og virus
http://www.browsertools.net/downloads/IEPrivacyKeeper.exe

Enig :O)

Det er en MXTarget http://www.pestpatrol.com/PestInfo/m/mx-targeting.asp, så der ligger sikkert mere skidt.

Hent hijackThis her.
http://danborg.org/spy/HJT/hijackthis.exe

Opret en mappe specielt til den. Åbn HJT>scan>save log>den åbner så i notesblok. Copy/paste den herind i tråden. Du må ikke slette noget selv i HijackThis, det kan skade mere end det gavner.

jeg bruger windows 2000

her er loggen, noget af det kan jeg godt genkende...


Logfile of HijackThis v1.98.2
Scan saved at 15:18:31, on 25-11-2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\system32\spoolsv.exe
D:\PROGRA~1\Grisoft\AVG6\avgserv.exe
D:\WINNT\System32\cisvc.exe
D:\WINNT\system32\DRIVERS\dcfssvc.exe
D:\WINNT\System32\svchost.exe
D:\WINNT\system32\nvsvc32.exe
D:\WINNT\system32\regsvc.exe
D:\WINNT\system32\MSTask.exe
D:\WINNT\system32\stisvc.exe
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\WINNT\system32\mspmspsv.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\Explorer.EXE
D:\WINNT\system32\CTHELPER.EXE
D:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
D:\WINNT\system32\internat.exe
D:\WINNT\system32\RUNDLL32.EXE
D:\Programmer\ZyXEL Corporation\ZyAIR WLAN Utility\ZyAIR.EXE
D:\WINNT\System32\cidaemon.exe
D:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE
D:\Programmer\Microsoft Office\Office10\WINWORD.EXE
D:\Programmer\Internet Explorer\iexplore.exe
D:\Documents and Settings\Administrator\Skrivebord\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - D:\WINNT\localNRD.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [tbqdma] D:\WINNT\system32\asdcbcr.exe
O4 - HKLM\..\Run: [AVG_CC] D:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [satmat] D:\WINNT\satmat.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINNT\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = D:\Programmer\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: ZyAIR.lnk = D:\Programmer\ZyXEL Corporation\ZyAIR WLAN Utility\ZyAIR.EXE
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O15 - Trusted Zone: *.elbutik.dk
O15 - Trusted Zone: *.post.dk
O15 - Trusted Zone: *.solar.dk
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=742ae6aabe7d3a41bcf4a5afcbb90dcf34dad1f7e20e580a8628a9310ebdbc79ff97ebe1e10940b1a7ee84d6b88713ffc07adc36a6c198daa84af66cad27b7bddb:0bcd3b08a0018c359992be6d71d48cd1
O16 - DPF: {3D2CB570-D425-11D5-ABD0-00008369C46F} (CSMenu Class) - https://business.bgbank.dk/html/activex/BG/Menu.cab
O16 - DPF: {8DA431E7-8BC2-48E5-948A-DDBB6F96AB2B} - http://weblink.solar.dk/sgs/weblink/installations/update.cab
O16 - DPF: {F6A56D95-A3A3-11D2-AC26-400000058481} (Danske e-Sec) - https://business.bgbank.dk/html/activex/danskesikker/BG/DanskeSikker.cab

Følg vejledningen her: http://www.spywarefri.dk/hjtanv.htm (punkt 6). Fix disse med HijackThis:

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - D:\WINNT\localNRD.dll
O4 - HKLM\..\Run: [tbqdma] D:\WINNT\system32\asdcbcr.exe
O4 - HKLM\..\Run: [satmat] D:\WINNT\satmat.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = ?
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=742ae6aabe7d3a41bcf4a5afcbb90dcf34dad1f7e20e580a8628a9310ebdbc79ff97ebe1e10940b1a7ee84d6b88713ffc07adc36a6c198daa84af66cad27b7bddb


Vi skal kunne se dine skjulte filer for at finde snavs, der skal slettes manuelt. Det er en del af processen.

Åbn en tilfældig mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".


Disse programmer skal slettes i fejlsikret tilstand. Du genstarter og trykker F8 når Windows starter op.

Søg efter disse filer:

D:\WINNT\system32\asdcbcr.exe
D:\WINNT\satmat.exe
D:\WINNT\localNRD.dll

Søg efter disse mapper:

Ingen

Hent den her scanner:
http://www.spywareinfo.dk/download/mwav.exe

Sæt flueben i følgende:
Memory, Startup folders, drive, Registry, System folders og Services.
Sæt prik i følgende:
All local drives og Scan all files
Og så trykker du på Scan Clean
Den skanner nu, og dette kan godt tage et par timer.

Derefter genstarter du og sender en ny log ind til check

Den ligger i hvert fald ikke i systemgendannelsen. Fordi den findes ikke i Win 2000 :O)

fårk hvor besværligt, hehe

jeg prøver...

nu er jeg ved at hente mwav.exe

imens kan jeg lige spørge om hvordan jeg kan få den her besværlige virus når jeg har en opdateret virus scanner? gennem hvilket program kommer virussen ind?

Det er ikke en virus du har fået ind.
Det er en trojaner og dee kan komme ind på mange måder.
Det kan være en skummel internetside eller et freewareprogram du har downloadet, der har lidt mere med i posen end du får at vide.
I det hele taget skal man være forsigtig med hvad man henter og hvor man går hen på nettet.
Fildelingsprogrammer som Kazaa er også en nbem måde at få snavs ind i maskinen på.

Du kan læse lidt mere om det her:
http://www.eksperten.dk/artikler/144
http://www.eksperten.dk/artikler/254

den mwav.exe udpakker automatisk på c:\ og der er kun en boot-partition med alt for lidt plads... og man kan ikke vælge et andet drev?

okay, ja jeg har da downet 2 freewareprogrammer fra tucows... kazaa o.lign. bruger jeg ikke

Der kan du se....
Man skal passe på :O)

Nå nok om det.  Kan du downloade scanneren til et andet drev i stedet?
Ellers skal du tage et onlinescan i stedet, når du ikke kan få plads til skanneren på c drevet.
http://housecall.trendmicro.com/
Kør den i stedet. Den er næsten lige så god.

jeg har downet programmet til d-drevet men den selvudpakker til c-drevet og der har jeg ikke plads, og man kan ikke vælge at udpakke til et andet drev.

jeg tager den online scanner...

ok

Logfile of HijackThis v1.98.2
Scan saved at 16:38:41, on 25-11-2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\system32\spoolsv.exe
D:\PROGRA~1\Grisoft\AVG6\avgserv.exe
D:\WINNT\System32\cisvc.exe
D:\WINNT\system32\DRIVERS\dcfssvc.exe
D:\WINNT\System32\svchost.exe
D:\WINNT\system32\nvsvc32.exe
D:\WINNT\system32\regsvc.exe
D:\WINNT\system32\MSTask.exe
D:\WINNT\system32\stisvc.exe
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\WINNT\system32\mspmspsv.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\Explorer.EXE
D:\WINNT\system32\CTHELPER.EXE
D:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
D:\WINNT\system32\internat.exe
D:\WINNT\system32\RUNDLL32.EXE
D:\Programmer\ZyXEL Corporation\ZyAIR WLAN Utility\ZyAIR.EXE
D:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE
D:\Programmer\Microsoft Office\Office10\WINWORD.EXE
D:\Programmer\Internet Explorer\iexplore.exe
D:\WINNT\System32\cidaemon.exe
D:\Documents and Settings\Administrator\Skrivebord\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AVG_CC] D:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINNT\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: Microsoft Office.lnk = D:\Programmer\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: ZyAIR.lnk = D:\Programmer\ZyXEL Corporation\ZyAIR WLAN Utility\ZyAIR.EXE
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O15 - Trusted Zone: *.elbutik.dk
O15 - Trusted Zone: *.post.dk
O15 - Trusted Zone: *.solar.dk
O16 - DPF: {3D2CB570-D425-11D5-ABD0-00008369C46F} (CSMenu Class) - https://business.bgbank.dk/html/activex/BG/Menu.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {8DA431E7-8BC2-48E5-948A-DDBB6F96AB2B} - http://weblink.solar.dk/sgs/weblink/installations/update.cab
O16 - DPF: {F6A56D95-A3A3-11D2-AC26-400000058481} (Danske e-Sec) - https://business.bgbank.dk/html/activex/danskesikker/BG/DanskeSikker.cab

Din log er ren nu. Der er ikke mere at komme efter :O)

forevernewbie vil du have et par point også?

Tak for tilbuddet, men pænt nej tak :) Andersenph lavede jo arbejdet. Jeg stjæler lidt point fra ham en anden gang ;). Eller måske giver han en bajer *S*

tak for hjælpen

Det var så lidt ;O)

newbie -> jo det kan du bande på jeg gør *LOL*