Fjern "SaveNow" fra computer

Download hijackthis herfra og gem det i en folder for sig selv på dit skrivebord

http://downloadportal.dk/showdownload.asp?rid=3967&sp=Hijackthis%201.91
eller et direkte download link herfra www.arlet.dk/hjt.exe

Start programmet og vælge, at udføre en scan samt gemme en log fil.
Når hijackthis er færdig med, at scanne vil den bede dig om en placering hvor du vil gemme "hijackthis" en tekst fil.
Gem den i samme folder som hijackthis. Når du har sagt okay hopper der et nyt vindue frem nemlig notepad med en masse tekst linjer. Marker alle linjerne og kopir dem herind så jeg kan kigge på dem. Du må ikke selv begynde, at fikse noget i hijackthis.

Linien:
Hvordan fjerner jeg SaveNow og hvorfor finder hverken spybot eller ad-aware den?

skulle selvfølgelig være:
Hvordan fjerner jeg SaveNow og hvorfor finder hverken spybot eller ad-aware den IKKE?

:)

God fornøjelse:

Logfile of HijackThis v1.99.1
Scan saved at 20:36:08, on 29-03-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\GigaByte\VGA Utility Manager\G-VGA.exe
C:\WINDOWS\StartupMonitor.exe
C:\WINDOWS\VM_STI.EXE
C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
C:\Beskyttelse\Micro PC-cillin\pccguide.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\WIDCOMM\Bluetooth-software\BTTray.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Common Files\Logitech\KHAL\KHALMNPR.EXE
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\Program Files\WIDCOMM\Bluetooth-software\bin\btwdins.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\BESKYT~1\MICROP~1\PcCtlCom.exe
C:\WINDOWS\system32\svchost.exe
C:\BESKYT~1\MICROP~1\Tmntsrv.exe
C:\BESKYT~1\MICROP~1\tmproxy.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Troels Lindgreen\Desktop\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\BESKYT~1\SPYBOT~1.3\SDHelper.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [VGAUtil] C:\Program Files\GigaByte\VGA Utility Manager\G-VGA.exe
O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE VIMICRO USB PC Camera 301x
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Program Files\DVD\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [pccguide.exe] "C:\Beskyttelse\Micro PC-cillin\pccguide.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NVRTCLK] C:\WINDOWS\system32\NVRTCLK\NVRTClk.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\system32\sti_ci.dll,WiaCreateWizardMenu
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Add To Print List - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint High Speed Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Preview - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Send til &Bluetooth - C:\Program Files\WIDCOMM\Bluetooth-software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth-software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth-software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {FA3662C3-B8E8-11D6-A667-0010B556D978} (IWinAmpActiveX Class) - http://cdn.digitalcity.com/_media/dalaillama/ampx.cab
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll
O20 - Winlogon Notify: LBTServ - C:\Program Files\Common Files\Logitech\Bluetooth\lbtserv.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Program Files\WIDCOMM\Bluetooth-software\bin\btwdins.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - C:\BESKYT~1\MICROP~1\PcCtlCom.exe
O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - C:\BESKYT~1\MICROP~1\Tmntsrv.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\BESKYT~1\MICROP~1\tmproxy.exe

Og TAK for den hurtige respons

Tak det er lækkerier det der:o) Jeg ser på den hehe

Genstart i Fejlsikret tilstand ved at taste F8 under opstart. Kør HijackThis, scan og sæt et flueben ud for denne linje- luk øvrige programvinduer. Klik herefter "Fix checked" i hijackthis:

O16 - DPF: {FA3662C3-B8E8-11D6-A667-0010B556D978} (IWinAmpActiveX Class) - http://cdn.digitalcity.com/_media/dalaillama/ampx.cab

Kig nu disse steder efter en mappe som hedder SaveNow

C:\Program Files\Common Files\
C:\Program Files\
C:\Programs\

finder du den slet den.

tryk start->kør og skriv "regedit"
tryk på denne computer i regedit vinduet så det bliver markeret
tryk på rediger->søg og skriv "savenow"
den skulle gerne finde savenow nu.. se evt om der står en sti til program mappen.
Hvis du fik slettet den før så bare slet disse linjer der bliver fundet i regedit på savenow.

Genstart normalt og se om det har hjulpet.

Jeg prøver...

ellers skulle man starte i fejlsikkertilstand med netværk, kører en online scanner med http://www.kriminalitet.dk/vira.html . Den har jeg været glad for, og den virker rigtigt godt..

Så har jeg kørt HJT igen i "savemode" og har slettet den linie du beskrev.

Jeg kunne ikke finde nogen mappe, heller ikke i regedit. Jeg har gennemsøgt min com efter "Adware" og "SaveNow" selv i indholdet af mine filer, men jeg har ikke kunne finde noget som helst.

Jeg har kørt Panda's online scanner igen og den har igen fundet "SaveNow".
Logfilen for online scanneren ser således ud:
Incident: Adware:Adware/SaveNow      Status: No disinfected      Location: Windows Registry

Hvad skal jeg gøre?

hmm kig lige i kontrolpanelet.. har du noget som hedder WhenUShop så er det også savenow

Det har jeg ikke...

under alle omstændigheder prøv det her

tryk start -> kør og skriv "regedit"
naviger herhen

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

se om du kan finde SaveNow eller WhenUSave  hvis ja slet dem.
Tryk i regedit på denne computer og tryk rediger-> søg ... søg på "whenusave" slet den hvis du finder den.

luk regedit

kig så i mappen

C:\Program Files\

se om der er noget som hedder Save
slet den hvis der er.

genstart din pc

Igenting i regedit og ingen mappe som hedder Save eller ligende

hent http://www.new.net/support/uninstall5_48.exe
og kør den.. det er en uninstaller til noget andet spyware.. men de kommer i samme pakke så måske er vi heldige

Jeg kan ikke downloade den. Jeg få denne pop-up: "Your current security settings do not allow this file to be downloaded."

du skal ikke højreklikke på den... venstreklikke

det gør jeg da også :)

huh? sorry.. så sæt lige dine indstillinger lidt ned imens vi arbejder hehe

tryk funktioner->internet indstillinger og tryk på sikkerhed.. sæt den til mellem.. hvis den er det så sæt den til lav.

tryk på fanen avanceret og sæt den til standard.

Error. Jeg kan ikke vælge under "mellem". Den skriver det anbefalede er mellem og at jeg kun kan vælge mellem eller højere.

har du en email jeg kan sende den til?

tlindgreen (a)) hotmail .com

Hotmail har blokeret for din .exe fil. Man kan ikke engang fortælle dem at filen er uskadelig!!! :(

Jeg har scannet med http://www.kriminalitet.dk/vira.html (dvs. HouseCall) som speedytech anbefalede, men den fandt heller ikke noget.

Jeg bliver desværre nødt til at gå nu, men hvis du har andre idéer er du MEGET velkommen til at skrive dem her, så afprøver jeg dem så godt som muligt.

Foreløblig tak for hjælpen

hmm.. se om du kan få den ned på diskette.. den fylder meget meget lidt

tråden lukkes