Bærbar infected med virus

Jeg kigger på den nu.

Puha den er styg, både CoolWebASearch og Wareout i samme log.

Under dette fix vil computeren blive genstartet, og du bør derfor printe vejledningen ud, for at have den ved din side under hele fixet.

Fjern spywarevanisher og Wareout i Tilføj/Fjern programmer, hvis du kan.

Hent det her program først:
http://www.derbilk.de/cms/_data/SpSeHjfix112.zip, pak det ud i sin egen mappe, så du kan finde det igen.

Hent CWShredder her:
http://danborg.org/spy/CWS/cwshredder.exe
Placer den i sin egen mappe.
Dobbeltklik på Sphjfix.exe-filen og der klikkes på knappen:
Desinfektion starten"
Herefter skal computeren genstartes. Cleaneren starter nu automatisk for at afslutte desinfektionen.
Herefter køres CWShredder, da den lige skal fjerne en enkelt registrering.

Kør CWShredder, afbryd din internetforbindelse fysisk(stikket ud), deaktiver ALLE sikkerhedsprogrammer (f.eks Antivirus, Firewall, SpywareGuard mm), luk alle vinduer undtaget cwshredder, klik på Fix, den scanner nu, når den er færdig klik på Next, klik på Exit.

Prøv så en tur med Regedit.
Klik på Start - Kør skriv: regedit og klik OK.
Du får et vindue lidt ligesom stifinder.
Klik dig i venstre side frem til:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
Tjek om der ligger en nøgle/tekst der hedder "HOMEOldSP", gør der det slet den.
Tjek efter Search Bar, Search Page og Start Page, hedder de ..\Temp\sp.dll og About:blank, så slet dem.
Ligger der herinde nogle filer under search page, search bar som ender på noget ....\sp.
Skal du også slette dem.
Stadig i Regedit.
Gå i rediger - ned i søg - i linjen skriver du: HOMEOldSP
Klik på find næste. Delete filen hvis den findes. Tast f3 for at finde næste (der er sikkert kun en)
Samme fremgangsmåde med søgeordet About:blank
Luk på X når du får at vide der ikke er flere filer at finde.

Tilslut dit netkabel igen.
Husk at genaktivere dine sikkerhedsprogrammer inden du går på nettet.

Fixet skal bruge adgang til internettet, så det skal du sikre dig, at der er.
Hent FixWareout fra et af disse links:

http://forums.subratam.org/index.php?act=A...e=post&id=43811
http://swandog46.geekstogo.com/Fixwareout.exe

Gem filen på dit Skrivebord og dobbeltklik på den. Klik Next -> Install og check, at der er et flueben i "Run fixit" - klik herefter på Finish. Fixet vil nu starte, og du skal blot følge instruktionerne. Du vil blive bedt om at genstarte din computer - gør venligst det. Genstarten vil tage lidt længere tid end normalt...

Når dit system genstarter skal du fortsat følge den vejledning, der gives på skærmen. Når fixet er færdigt vil HijackThis starte automatisk - klik på Scan, og sæt et flueben ud for følgende linier - luk øvrige programvinduer - klik "Fix checked":

R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://fastsearchweb.com/srh.php?q=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\nusser\LOKALE~1\Temp\se.dll/spage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\nusser\LOKALE~1\Temp\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R3 - URLSearchHook: (no name) - {155BAF91-6B27-A330-2AC2-4532D8BCE638} - sysconf16.dll (file missing)
O2 - BHO: (no name) - {501E429B-EBDA-4EB9-BD82-E75FA8F66E65} - C:\WINDOWS\System32\ndlk.dll (file missing)
O2 - BHO: (no name) - {580F9B4B-E533-4B1C-B25D-2E23B3F6F1B7} - C:\WINDOWS\System32\msclq.dll
O2 - BHO: (no name) - {C39DD35E-00E8-44C2-AFA5-B917B8A524EA} - C:\WINDOWS\System32\msclq.dll
O3 - Toolbar: (no name) - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - (no file)
O4 - HKLM\..\Run: [sp2ctr] c:\windows\system32\sp2ctr.exe /nocomm
O4 - HKLM\..\Run: [sp2chk.exe] sp2chk.exe
O4 - HKLM\..\Run: [SYSTRAV] stuffmon.exe
O4 - HKLM\..\Run: [xxtoolbar] MNTP.exe
O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\nusser\LOKALE~1\Temp\se.dll,DllInstall
O4 - HKLM\..\Run: [msevnt] c:\windows\system32\msevnt.exe /nocomm
O4 - HKCU\..\Run: [WareOut] "C:\Programmer\WareOut\WareOut.exe"
O4 - HKCU\..\Run: [bnui] DCC_send.exe
O4 - HKCU\..\Run: [RtlFindVal] trycrt.exe
O4 - HKCU\..\Run: [driver64] NukeSpan.exe
O4 - HKCU\..\Run: [Spyware Vanisher] C:\spywarevanisher-free\FreeScanner.exe -FastScan
O15 - Trusted Zone: http://*.63.219.181.7
O16 - DPF: {11212111-2121-1311-1141-115611111222} - ms-its:mhtml:file://d: oo.mht!http://69.50.166.212/counter/new/x.chm::/update.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{4C5EEFC2-23D9-48AE-86C0-C16C8FF90147}: NameServer = 69.50.188.180,195.225.176.31
O17 - HKLM\System\CS1\Services\Tcpip\..\{4C5EEFC2-23D9-48AE-86C0-C16C8FF90147}: NameServer = 69.50.188.180,195.225.176.31
O18 - Filter: text/html - {BC585154-3FA5-45FC-9F11-2CC349A88C19} - C:\WINDOWS\System32\ndlk.dll
O18 - Filter: text/plain - {BC585154-3FA5-45FC-9F11-2CC349A88C19} - C:\WINDOWS\System32\ndlk.dll
-------------------------------------------------------------------
Luk HJT og klik på OK for at fortsætte.

Genstart din computer i fejlsikret tilstand.

For at kunne se alle filer og mapper, så følg denne vejledning:
Åbn en mappe, klik på Funktioner >Mappeindstillinger >Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

Stadig i fejlsikret tilstand søg og slet:

Mapper:
C:\DOCUME~1\nusser\LOKALE~1\Temp\ << Tøm mappen.
C:\Programmer\WareOut\
C:\spywarevanisher-free\

Filer:
C:\WINDOWS\System32\msclq.dll
c:\windows\system32\sp2ctr.exe
c:\windows\system32\msevnt.exe
C:\WINDOWS\System32\ndlk.dll
sp2chk.exe
stuffmon.exe
MNTP.exe
DCC_send.exe
trycrt.exe
NukeSpan.exe

Derefter skal du tømme din papirkurv.

Genstart din computer, og kopier indholdet af C:\fixwareout\report.txt herind sammen med en frisk HijackThis log.

Det var ikke mange procent af den log, som ikke var snavs hehe

super er igang med at fjerne :),

31/10-2005 18:35:53 >> *LOL* Nej, det skal den ikke have skyld for.

Heysa, og undskyld for det meget langsomme svar igen fra min side. Men æh, der skete det at computeren rent faktisk gik død. Min niece var på besøg og så tabte hun lige et glas kakao ned i den og så var det den computer hehe :D, det jo hvad der kan ske.

Men mange tak for hjælpen alligevel, og hvis du smider et svar får du dine point :D

Velbekomme.*S*

Det var da noget uheldigt.

jeps var det, men forsikringen dækkede :P så nu har han fået en splinter ny bærbar så han brokker sig ikke :P

Nej, det kan jeg godt forstå.*S*
Link til sikker surfing:
http://www.spywarefri.dk/manualer/sikkerhedspakke.htm
Som minimum anbefaler jeg Spywareguard, Spywareblaster, IE-Spyad og IE Privacy Keeper.
Et par artikler om sikker surfing finder du her:
http://www.spywarefri.dk/forum/topic.asp?TOPIC_ID=14414
http://fromsej.dk/html/avoid.html
Mvh:
Fromsej/Team Spywarefri.