Søg
Avatar billede rasmus197628 Nybegynder
16. juni 2005 - 16:11 Der er 44 kommentarer og
2 løsninger

virus, hijackers og andet skidt. Har postet min log

Geninstallerede windows for et par dag siden, men der skulle tilsyndeladende ikke gå længe før jeg røg i fælden igen.
Når jeg starter et IE vindue åbner den en side der hedder "http://www.updatesearches.com/" som jeg ikke har bedt om som start side. Kan ikke ændre dette. Og kan slet ikke bruge IE fordi den bliver ved med at skifte side. Dertil kommer at diverse pop-ups hele tiden kommer op i hovedet på mig med reklamer for anti-spyware. Dertil kommer at der er et program? der kører i bunden i højre side af skærmen som bliver ved med at sige "you computer is infected" og dette program har jeg ikke installeret. Det er sådan en rød cirkel med et hvidt kryds indeni som minder om iconet for superadd blocker. Dertil kommer at alle mulige mærkelige sider er lagt ind under "fortrukne". Dertil kommer at billedet på mit skrivebord er blevet ændret til en "warning you are in danger" reklame for antispyware. Kan ikke ændre billedet igen. Dertil kommer at jeg lige har kørt min antivirus hvor der var 7 virusser og trojanske heste. Den fik slettet alle undtagen 1  C:\\WINDOWS\update13.js Den kunne den tilsyneladende ikke fjerne. Hjælp :(

Logfile of HijackThis v1.99.1
Scan saved at 16:10:39, on 16-06-2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Sygate\SPF\Smc.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\SuperAdBlocker.com\Super Ad Blocker\SABSVC.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\popuper.exe
C:\Programmer\QuickTime\qttask.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programmer\ICQLite\ICQLite.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\iTunes\iTunesHelper.exe
C:\Programmer\SlySoft\AnyDVD\AnyDVD.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\MSN Messenger\MsnMsgr.Exe
C:\Programmer\SuperAdBlocker.com\Super Ad Blocker\SAdBlock.exe
C:\Programmer\WinZip\WZQKPICK.EXE
C:\Programmer\iPod\bin\iPodService.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\ntvdm.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programmer\Mozilla Firefox\firefox.exe
C:\Programmer\Microsoft Office\Office10\WINWORD.EXE
C:\WINDOWS\System32\msiexec.exe
D:\setup files\hjt.exe
C:\WINDOWS\System32\intmonp.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.updatesearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.updatesearches.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.updatesearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.updatesearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.updatesearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.updatesearches.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.updatesearches.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Super Ad Blocker Toolbar - {B4B3001E-0F56-4E51-8250-BDE11547EC55} - C:\Programmer\SuperAdBlocker.com\Super Ad Blocker\sabtb.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] C:\Programmer\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\Smc.exe -startgui
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmer\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AnyDVD] C:\Programmer\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SuperAdBlocker] C:\Programmer\SuperAdBlocker.com\Super Ad Blocker\SAdBlock.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programmer\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmer\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmer\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmer\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .pdf: C:\Programmer\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O20 - Winlogon Notify: style2 - C:\WINDOWS\q539065_disk.dll (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programmer\iPod\bin\iPodService.exe
O23 - Service: Super Ad Blocker Service (SABSVC) - SuperAdBlocker.com - C:\Programmer\SuperAdBlocker.com\Super Ad Blocker\SABSVC.EXE
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programmer\Sygate\SPF\Smc.exe
Avatar billede levich Nybegynder
16. juni 2005 - 16:14 #1
Jeg ser på din log
Avatar billede rasmus197628 Nybegynder
16. juni 2005 - 16:18 #2
ok :)
Avatar billede levich Nybegynder
16. juni 2005 - 16:25 #3
Læs alle punkterne inden du gør noget.
Print evt. denne vejledning ud.

(1)
Genstart computeren i fejlsikret tilstand (tryk F8 når Windows starter op), og hent scannereren http://www.spywareinfo.dk/download/mwav.exe, og gem den i mappen c:\xyz.
Genstart computeren normalt.

(2)
Deaktiver systemgendannelse, ved at Højreklikke på "Denne Computer" på skrivebordet -> egenskaber -> Systemgendannelse -> sæt flueben i "Deaktiver systemgendannelse" -> Klik OK.

(3)
Genstart computeren i fejlsikret tilstand (tryk F8 når Windows starter op), og fix følgende linjer med HijackThis:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.updatesearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.updatesearches.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.updatesearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.updatesearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.updatesearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.updatesearches.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.updatesearches.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O20 - Winlogon Notify: style2 - C:\WINDOWS\q539065_disk.dll (file missing)

Åbn en tilfældig mappe, i menuen klik på Funktioner -> Mappeindstillinger -> Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

søg efter og slet følgende fil:
C:\WINDOWS\web\related.htm

(4)
Start -> programmer -> tilbehør -> systemværktøjer -> diskoprydning -> Slet Temporary internet files, papirkurv og midlertidige filer.

(5)
Kør scanneren mwav.exe, og sæt flueben i følgende:
Memory, Startup folders, drive, Registry, System folders og Services.
Sæt prik i følgende: All local drives og Scan all files.
Tryk på Scan Clean
Scanningen kan godt tage et par timer.

(6)
Genstart computeren normalt. Lav en ny log med HijackThis, og send den herind.

(7)
Når vi er helt færdige, så husk at aktiver systemgendannelse igen.
Avatar billede levich Nybegynder
16. juni 2005 - 16:26 #4
Vent lidt, jeg har en rettelse
Avatar billede levich Nybegynder
16. juni 2005 - 16:27 #5
I punkt (3) skal du søge efter og slet følgende filer:
C:\WINDOWS\web\related.htm
C:\WINDOWS\System32\msiexec.exe
C:\WINDOWS\System32\intmonp.exe
C:\WINDOWS\System32\devldr32.exe
Avatar billede arlet Juniormester
16. juni 2005 - 17:32 #6
Levich -> Syntes du ikke at du skal øve dig noget mere på disse hijackthis logs, inden du besvarer spørgsmål herinde??

Jeg syntes du laver alt alt for mange fejl..

Skal IKKE slettes:
C:\WINDOWS\System32\msiexec.exe
http://www.liutilities.com/products/wintaskspro/processlibrary/msiexec/
C:\WINDOWS\System32\devldr32.exe
http://www.liutilities.com/products/wintaskspro/processlibrary/devldr32/

Skal IKKE fixes i hijackthis:
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
Avatar billede levich Nybegynder
16. juni 2005 - 19:29 #7
Jo arlet, men jeg lærer jo hele tiden. Jeg har fejlagtigt søgt her:
http://www.sysinfo.org/startuplist.php?filter=msiexec.exe
http://www.sysinfo.org/startuplist.php?filter=devldr32.exe

Mht R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks:
Når der er problemer med startsiden el.lign. i internet explorer, så fixer jeg altså alle linjerne, og det er der endnu ingen der har klaget over.
******************************
rasmus197628: Punkt (3) skal se sådan her ud:
(3)
Genstart computeren i fejlsikret tilstand (tryk F8 når Windows starter op), og fix følgende linjer med HijackThis:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.updatesearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.updatesearches.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.updatesearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.updatesearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.updatesearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.updatesearches.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.updatesearches.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O20 - Winlogon Notify: style2 - C:\WINDOWS\q539065_disk.dll (file missing)

Åbn en tilfældig mappe, i menuen klik på Funktioner -> Mappeindstillinger -> Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

søg efter og slet følgende fil:
C:\WINDOWS\web\related.htm
C:\WINDOWS\System32\intmonp.exe
************************
Undskyld forvirringen. Jeg tænkte mig ikke om.
Avatar billede rasmus197628 Nybegynder
16. juni 2005 - 21:44 #8
Hmmm gjorde som du sagde først og har slettet det der blev sagt og nu har jeg scannet i mange mange timer. Hvad gør jeg nu med de ting som jeg ikke skulle have slettet??

Pop-up vinduerne kommer stadig op og på mit skrivebord er der stadig en reklame/advarsel jeg ikke kan slette.

Systemet kører ogaså helt urimelig langsomt :(

Her er min nye log:

Logfile of HijackThis v1.99.1
Scan saved at 21:44:09, on 16-06-2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Sygate\SPF\Smc.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\SuperAdBlocker.com\Super Ad Blocker\SABSVC.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\popuper.exe
C:\Programmer\QuickTime\qttask.exe
C:\Programmer\ICQLite\ICQLite.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programmer\iTunes\iTunesHelper.exe
C:\Programmer\SlySoft\AnyDVD\AnyDVD.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\MSN Messenger\MsnMsgr.Exe
C:\Programmer\SuperAdBlocker.com\Super Ad Blocker\SAdBlock.exe
C:\Programmer\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\devldr32.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\iPod\bin\iPodService.exe
C:\WINDOWS\system32\ntvdm.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programmer\Mozilla Firefox\firefox.exe
C:\Programmer\Outlook Express\msimn.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Programmer\Internet Explorer\iexplore.exe
D:\setup files\hjt.exe
C:\WINDOWS\System32\intmonp.exe

F2 - REG:system.ini: Shell=
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Super Ad Blocker Toolbar - {B4B3001E-0F56-4E51-8250-BDE11547EC55} - C:\Programmer\SuperAdBlocker.com\Super Ad Blocker\sabtb.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] C:\Programmer\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\Smc.exe -startgui
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmer\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AnyDVD] C:\Programmer\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [PSGuard] C:\Programmer\PSGuard\PSGuard.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SuperAdBlocker] C:\Programmer\SuperAdBlocker.com\Super Ad Blocker\SAdBlock.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programmer\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmer\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmer\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmer\ICQLite\ICQLite.exe
O12 - Plugin for .pdf: C:\Programmer\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programmer\iPod\bin\iPodService.exe
O23 - Service: Super Ad Blocker Service (SABSVC) - SuperAdBlocker.com - C:\Programmer\SuperAdBlocker.com\Super Ad Blocker\SABSVC.EXE
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programmer\Sygate\SPF\Smc.exe
Avatar billede kalp Novice
16. juni 2005 - 21:51 #9
Jeg tillader mig at smide en procedure du overser en fil og et program levich. Jeg ventede til du kom med din anden procedure... så du selv havde en chance for at opdage det (som du selv har bedt mig om at gøre tidligere:))

rasmus197628 >> gør følgende

Genstart i Fejlsikret tilstand ved at taste F8 under opstart.

Afinstaller eller slet dette program/mappe
C:\Programmer\PSGuard\

Kør HijackThis, scan og sæt et flueben ud for disse linjer - luk øvrige programvinduer. Dobbelt tjeck alt kom med!. Klik herefter "Fix checked" i hijackthis:

F2 - REG:system.ini: Shell=
O4 - HKLM\..\Run: [PSGuard] C:\Programmer\PSGuard\PSGuard.exe

Find og slet (Kig godt efter!!.. Det du ikke finder har hijackthis muligvis selv kunne slette!)

Filerne

C:\WINDOWS\popuper.exe
C:\WINDOWS\System32\intmonp.exe

Gå herefter i Start -> Programmer -> Tilbehør -> Systemværktøjer -> Diskoprydning og slet temp-filer, temporary internet files og papirkurv.

Genstart normalt og kopir en ny hijackthis log herind så jeg kan se om vi fik fjernet det hele eller om noget skulle være blevet overset:)
Avatar billede rasmus197628 Nybegynder
16. juni 2005 - 21:59 #10
Okay tak! Lige nogle få kommentarer inden jeg gør det. Det billede der ligger på skrivebordet som jeg ikke kan slette hedder file://C:\WINDOWS\screen.html når højre klikker og trykker properties. Og så lige 1 ting mere til denne linje:

Gå herefter i Start -> Programmer -> Tilbehør -> Systemværktøjer -> Diskoprydning og slet temp-filer, temporary internet files og papirkurv.

Det kan jeg ikke udføre idet den går i gang med at komprimere gamle filer og den kommer aldrig videre. Den stod i 2 timer uden at komme videre så jeg endte med at slette temp-filer, temporary internet files og papirkurv manuelt, men det er der vel ikke noget til vejen for?
Avatar billede rasmus197628 Nybegynder
16. juni 2005 - 22:19 #11
Har er min nye log:

Logfile of HijackThis v1.99.1
Scan saved at 22:18:59, on 16-06-2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Sygate\SPF\Smc.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\SuperAdBlocker.com\Super Ad Blocker\SABSVC.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\QuickTime\qttask.exe
C:\Programmer\ICQLite\ICQLite.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programmer\iTunes\iTunesHelper.exe
C:\Programmer\SlySoft\AnyDVD\AnyDVD.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\MSN Messenger\MsnMsgr.Exe
C:\Programmer\SuperAdBlocker.com\Super Ad Blocker\SAdBlock.exe
C:\Programmer\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\devldr32.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\iPod\bin\iPodService.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\ntvdm.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Programmer\Mozilla Firefox\firefox.exe
D:\setup files\hjt.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Super Ad Blocker Toolbar - {B4B3001E-0F56-4E51-8250-BDE11547EC55} - C:\Programmer\SuperAdBlocker.com\Super Ad Blocker\sabtb.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] C:\Programmer\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\Smc.exe -startgui
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmer\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AnyDVD] C:\Programmer\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SuperAdBlocker] C:\Programmer\SuperAdBlocker.com\Super Ad Blocker\SAdBlock.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programmer\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmer\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmer\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmer\ICQLite\ICQLite.exe
O12 - Plugin for .pdf: C:\Programmer\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programmer\iPod\bin\iPodService.exe
O23 - Service: Super Ad Blocker Service (SABSVC) - SuperAdBlocker.com - C:\Programmer\SuperAdBlocker.com\Super Ad Blocker\SABSVC.EXE
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programmer\Sygate\SPF\Smc.exe
Avatar billede levich Nybegynder
16. juni 2005 - 22:52 #12
Af de to filer, som ikke skulle slette, er det kun den ene som er væk, nemlig msiexec.exe.
Som du kan læse her: http://www.processlibrary.com/directory/files/devldr32/, så stammer den fra installation af Creative Labs lyd-et-eller-andet.
Hvis du ikke har nogen problemer med din lyd, så skal du ikke gøre noget. Hvis du har problemer, så geninstaller det der fulgte med Creative Labs.

Eller ser din log fin ud. Men vent hellere til en anden eksperten, såsom kalp, har sagt god for det. Jeg har jo overset nogle ting allerede :-(
Avatar billede kalp Novice
16. juni 2005 - 23:00 #13
rasmus197628 >> det med at komprimere filer tager lang lang tid.. så det kan overraske..


filen C:\WINDOWS\screen.html kan du slette med killbox

Hent KillBox her:
http://download.broadbandmedic.com/ el. her hvis første link ikke virker:
http://www.spywareinfo.dk/download/KillBox.zip

Brugsanvisning kan du finde her:
http://www.fbeej.dk/KillBox2_manual.htm

ps. loggen ser også ren ud i mine øjne:=)
Avatar billede rasmus197628 Nybegynder
16. juni 2005 - 23:01 #14
Hehe det går nok hvis det bare er det. Kan jeg hurtigt installere igen.
Der er kun et problem tilbage og det er det billede/reklame på mit skrivebord som jeg ikke kan fjerne. Når jeg højre klikker og trykker properties får jeg:    file://C:\WINDOWS\screen.html
Når jeg klikker på reklamen kommer jeg ind på http://www.antivirus-gold.com/?wm=10036&swm=0
Hvordan fjerner jeg dette?

Ellers må dem der har skrevet/hjulpet i tråden gerne ligge nogle svar så jeg kan prøve at fordele nogle point :)
Avatar billede rasmus197628 Nybegynder
16. juni 2005 - 23:30 #15
Okay har nu fjernet filen. Men der er stadig et problem. Kan ikke få et billede frem på skrivebordet eller gå ind og ændre billedet på skrivebordet. Skrivebordet står bare og blinker mellem farverne hvid/grå. Og når jeg trykker properties på skrivebordet får jeg ikke en dropdown med en masse muligheder. Jeg får følgende (screenshot): http://photobucket.com/albums/y12/Rasmus76/?action=view&current=Image1000.gif
Det er da ikke helt normalt?

Mangler stadig at dele point ud. Er der ingen der vil have nogen? :D
Avatar billede levich Nybegynder
16. juni 2005 - 23:33 #16
hmm, du kan enten prøve at slette C:\WINDOWS\screen.html i fejlsikret tilstand, eller med killbox som kalp foreslår, eller du kan bruge en funktion under misc tools i hijackthis programmet ved navn "delete a file on reboot".
Avatar billede kalp Novice
16. juni 2005 - 23:34 #17
jeg finder lige det værktøj du skal bruge til det sidste.
Avatar billede levich Nybegynder
16. juni 2005 - 23:35 #18
Prøv at slette i fejlsikret tilstand. Der skulle din skærm gerne se normalt ud?
Avatar billede kalp Novice
16. juni 2005 - 23:37 #19
hmm.. hent http://www.bleepingcomputer.com/files/reg/smitfraud.reg
dobbeltklik på filen og sig ja til at gemme indstillingerne.

hjalp det?
Avatar billede rasmus197628 Nybegynder
16. juni 2005 - 23:42 #20
Det hjalp ikke nej...desværre.. andre forslag? hehe
Avatar billede levich Nybegynder
16. juni 2005 - 23:44 #21
Her er et link til en med det samme problem:
http://www.geekstogo.com/forum/Cant_remove_altnet_spyware_-t33030.html (se kommentaren fra det her tidspunkt Jun 7 2005, 01:21 PM).

Kalp, du må hellere stykke en vejledning sammen, som rasmus197628 kan bruge.
Avatar billede rasmus197628 Nybegynder
16. juni 2005 - 23:44 #22
prøver levich forslag. Øjeblik :D
Avatar billede rasmus197628 Nybegynder
16. juni 2005 - 23:56 #23
I fejlsikret tilstand er der ingen problem. Kunne ikke slette filen file://C:\WINDOWS\screen.html i fejlsikret tilstand idet den ikke eksisterer mere efter at jeg allerede har slettet den!
Avatar billede rasmus197628 Nybegynder
16. juni 2005 - 23:57 #24
Prøver at oprette mig på det andet forum så jeg kan læse svaret på den kommentar levich nævner
Avatar billede kalp Novice
16. juni 2005 - 23:57 #25
nej nej...

http://www.theeldergeek.com/desktop_tab_missing_from_display.htm
Avatar billede kalp Novice
16. juni 2005 - 23:59 #26
masser af løsninger.

http://www.google.dk/search?hl=da&q=desktop+properties+missing&meta=
Avatar billede rasmus197628 Nybegynder
17. juni 2005 - 00:00 #27
Okay kigger påd et sidste link. Men der er slet ingen display properties at vælge imellem som du kunne se af screenshot
Avatar billede kalp Novice
17. juni 2005 - 00:02 #28
ja men tror bare det er nogle indstillinger som skal ændres tilbage..

jeg smutter i seng nu men kigger ind igen i morgen.. håber dog løsningen findes på det sidste link:)
Avatar billede rasmus197628 Nybegynder
17. juni 2005 - 00:17 #29
Kan ikke finde løsningen på det. Alle steder hvor der står noget om det er det kun nogle af display properties der mangler. Tror måske det link levich skrev er løsningen fordi der nævnes: Delete the entire folder C:\Program Files\AntiVirusGold
AntiVirusGold var præcis den side som reklamen der var på mit skrivebord refererede til når jeg klikkede på det. Men ved ikke helt om jeg tør rode mig ud i løsningen. Det ser kompliceret ud :/
Avatar billede levich Nybegynder
17. juni 2005 - 00:43 #30
Ja, vent til kalp har stykket en vejledning sammen. Jeg kan godt komme med et kvalificeret gæt, men tror at kalp har mere styr på det.
Avatar billede kalp Novice
17. juni 2005 - 11:14 #31
Navigate to User Configuration | Administrative Templates | Windows Components | Windows Explorer
In the right pane, double click on 'Turn On Classic Shell'.
Set the radio button to 'Not Configured', then click OK.


Try start->kør og skriv gpedit.msc.
Naviger hen til User Configuration > Administrative Templates > Windows Components > Windows Explorer

og i højre side dobbeltklik på "Turn on Classic shell".... tryk på den radiobutton (den man kan sætte prik i) så den siger "Not configured".

sidder ved en engelsk maskine.. derfor står det på engelsk.


Virker det ikke?

så åben notepad.. og skrive følgende linjer ind.






Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoActiveDesktopChanges"=hex:00,00,00,00
"NoActiveDesktop"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"NoDispBackgroundPage"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"NoDispScrSavPage"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"NoDispCPL"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoSaveSettings"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"ClassicShell"=dword:00000000





gem det som gendan.reg
og dobbeltklik herefter på filen.... sig ja til at gemme ændringerne.
Avatar billede levich Nybegynder
17. juni 2005 - 11:26 #32
Jeg kommer med en forsigtig vejledning. Med forsigtig mener jeg, at nedenstående ikke ødelægger noget. Det bliver altså lige en redigeret udgave af teksten fra linket, og dermed på engelsk.

Copy the part in bold below into notepad and save it as AVGoldfix.reg
Set Filetype to All Files and save it somewhere easy to find. We will use it later.

REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\AntivirusGold]

Download and start Killbox.

In the killbox program, select the Delete on Reboot option.

Copy the file names below to the clipboard by highlighting them and pressing Control-C:
C:\Windows\screen.html

Return to Killbox, go to the File menu, and choose "Paste from Clipboard".

Click the red-and-white "Delete File" button. Click "Yes" at the Delete on Reboot prompt. Click "No" at the Pending Operations prompt if you get one.

If the computer does not reboot by itself, do it manually.

While your computer is restarting, tap the F8 key continually until a menu appears. Use your up arrow key to highlight Safe Mode, then hit enter.

Doubleclick the AVGoldfix.reg we made earlier.
And (still in safe mode) use the DiskCleanup Tool (se her: http://www.theeldergeek.com/disk_cleanup_utility.htm) to empty all your Temp folders.

Delete the entire folder C:\Program Files\AntiVirusGold

In the Control Panel click Display > Desktop > Customize desktop > Website > Uncheck "Security Info"

Then boot back to normal, run HijackThis again and post a new log.

***************************

Samtidig med at jeg forfattede ovenstående, har kalp også skrevet en vejledning. Da de ikke er ens sender jeg også min afsted til eksperten, men følg kun min, hvis kalps ikke virker :-).
Avatar billede rasmus197628 Nybegynder
17. juni 2005 - 11:41 #33
Under "slå klassisk brugegrænseflade til" står den som ikke konfigureret. Skal den ændres til aktiveret eller ikke aktiveret eller bare stå som "ikke konfigureret"=

Mht til den anden mulighed: Når den spørger om jeg er sikker på oplysninger skal tilføjes i registeringsdatabasen og jeg trykker ja kommer den om med fejlmeddelelsen: "gendan.reg kan ikke importeres. Den angiven fil er ikke et registeringsdatabasescript. du kan kun importere binære registeringsdatabasefiler fra Registreringseditoren"
Avatar billede rasmus197628 Nybegynder
17. juni 2005 - 12:39 #34
Okay fik nu gemt filen i registreringsdatabasen. Men det hjalp ikke noget :(
Tror jeg prøver levichs forslag nu
Avatar billede kalp Novice
17. juni 2005 - 12:59 #35
jeg undrer mig lidt over forslagende ikke er nok... men overvej i så fald en systemgendannelse som sidste udvej
Avatar billede rasmus197628 Nybegynder
17. juni 2005 - 13:22 #36
Levichs forlag hjalp heller :(
Undskyld min uvidenhed men hvordan laver jeg systemgendannelse?
Avatar billede kalp Novice
17. juni 2005 - 13:31 #37
Tryk start->alle programmer->tilbehør->systemværktøjer-> systemgendannelse

vælge et tidspunkt hvor problemerne ikke var til stede.
Avatar billede rasmus197628 Nybegynder
17. juni 2005 - 13:36 #38
Så får jeg vel også alle de problemer som jeg har fået slettet tilbage igen? Pest eller kolera....
Avatar billede kalp Novice
17. juni 2005 - 13:55 #39
forhåbentlig ikke... men du smider jo en ny log herind når du har gjort det...
Avatar billede kalp Novice
17. juni 2005 - 13:59 #40
fandt lige denne
http://www.fbeej.dk/Programmer/Skrivebord.zip

udpak og dobbeltklik på filen.
Avatar billede rasmus197628 Nybegynder
17. juni 2005 - 14:11 #41
Den sidste hjalp heller ikke. Jeg prøver det systemgendannelse og poster min log bagefter.
Avatar billede rasmus197628 Nybegynder
17. juni 2005 - 14:18 #42
Men systemgendannelse har jo været slået fra mens jeg har lavet alle disse ændringer. Det stod der jeg skulle gøre i det aller første svar. Når jeg går ind i Tryk start->alle programmer->tilbehør->systemværktøjer-> systemgendannelse  siger den "systemgendannelse er slået fra - vil du aktivere systemgendannelse nu?
Avatar billede kalp Novice
17. juni 2005 - 14:21 #43
Du skal aktivere den igen.
Det står der også i punkt 7 som levich har skrevet.
Avatar billede rasmus197628 Nybegynder
17. juni 2005 - 14:36 #44
Der er ingen genoprettelses tidspunkter ud over 17 juni 14:31, måske fordi jeg lige har geninstalleret windows og disse problemer dukkede op med det samme.
Avatar billede levich Nybegynder
17. juni 2005 - 14:51 #45
Hvis det ender med at du geninstallerer windows har jeg nogle tips.

Hent allerede nu service pack 2 til windows xp:
http://intern.sdu.dk/enheder/it-service/tjenester/ftphotel/ftpindhold/
gem den i en anden partition eller brænd på en cd.

Tag internetstikket ud, mens du geninstallerer.
Installer antivirus og firewall (AVG og Sygate, som du har).
Installer service pack 2.
Sæt internetstikket i igen, og opdater windows xp + AVG + Sygate.
Avatar billede rasmus197628 Nybegynder
17. juni 2005 - 14:55 #46
Okay, tak for det!

Også tak til levich og arlet :)
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
Vil skrifte antivirusprogram. Af ErikHg i Virus 22 26/11/202510:42 23/12/202514:29
Er gratis Bitdefender værd at installere ? Af Ikke-ekspert i Virus 8 31/08/202519:08 01/09/202514:18
Ukendte filer på min Pc Af jonpet i Virus 10 03/02/202514:20 04/02/202511:05
mulig ukendt virus Af jackie18 i Virus 3 18/01/202514:07 18/01/202516:39
virus popper op med jævne mellemrum Af Malm i Virus 13 18/01/202511:40 20/01/202517:53
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
24/0417:35 Kan ikke resette PC med Windows 8.1 Af TTA i Office & Kontorpakker
24/0413:33 Lukning af Microsoftkonto Af ErikHg i Windows
23/0416:10 Bat file. Af johnnylassen i Andet programmering
23/0410:28 “Signe” Svindel omtalt i medier Af nu_igen i Mobiltelefoner
22/0420:59 RAID controller virker ikke ved tilslutning af alle 4 harddiske Af Strawberry i Andet hardware
White papers
Flere white papers »