Søg
Avatar billede Slettet bruger
14. december 2005 - 17:18 Der er 5 kommentarer og
2 løsninger

Tjek lige denne Hijackthislog

Nu er der igen problemer med min kusines computer. Jeg har gjort en masse for at stoppe dens indtrænging. Det er trojanere, malware og i den kategori. Det camouflerer sig som et harmløst anti-virus software program som bruger ikonerne til windows xp's firewall og frister én til at købe Spy Axe og Spy Trooper. Det har kapret browserens startside, og jeg har prøvet fjerne det med CWshredder, Hijackthis osv.. også i fejlsikret tilstand, så det er virkelig en stædig satan jeg har med at gøre her! :)
Hun installerede Spy Trooper i den tro at det var et reelt anti virus program. Men da det blev installeret, brød et mindre ragnarok løs. Så jeg vil gerne have lidt hjælp til hvordan jeg fjerner dette shitware! 

Logfile of HijackThis v1.99.1
Scan saved at 17:09:07, on 14-12-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\WIDCOMM\Bluetooth-software\bin\btwdins.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvctrl.exe
C:\Programmer\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmer\HP\HP Software Update\HPWuSchd2.exe
C:\Programmer\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programmer\SpywareGuard\sgmain.exe
C:\Programmer\SpywareGuard\sgbhp.exe
C:\Programmer\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programmer\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programmer\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\mssearchnet.exe
C:\DOCUME~1\ch@anett\LOKALE~1\Temp\Midlertidig mappe 4 for hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.dk/0SEDADK/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.dk/0SEDADK/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.dk/0SEDADK/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: HomepageBHO - {1ca480cd-c0e5-4548-874e-b85b17905b3a} - C:\WINDOWS\system32\hpA38E.tmp
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [gcasServ] "C:\Programmer\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [HP Software Update] C:\Programmer\HP\HP Software Update\HPWuSchd2.exe
O4 - Startup: SpywareGuard.lnk = C:\Programmer\SpywareGuard\sgmain.exe
O4 - Global Startup: Adobe Reader Hurtigstart.lnk = C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmer\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: Send til &Bluetooth - C:\Programmer\WIDCOMM\Bluetooth-software\btsendto_ie_ctx.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmer\WIDCOMM\Bluetooth-software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmer\WIDCOMM\Bluetooth-software\btsendto_ie.htm
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by16fd.bay16.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programmer\WIDCOMM\Bluetooth-software\bin\btwdins.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

BTW: Det kommer hele tiden med falske advarsler med at jeg er infikseret, men det er jo selve dette malware som infikserer mig.

Så på forhånd tak!
Avatar billede darth-domino Nybegynder
14. december 2005 - 17:20 #1
Har du startet med at installer enten FireFox eller Mozilla på hendes Computer, samt fjernet alle Iexplorer????
Avatar billede Slettet bruger
14. december 2005 - 17:56 #2
firefox er installeret for lang tid siden og det kører fint.Problemet er at IExplorer har dette malware som også har infikseret selve windows.

Disse hjemmesider er dem der driller og som låser:

http://spyaxe.net/?ref=100016
http://www.yoursystemupdate.com/ (startsiden)

og nogle andre.

C:\WINDOWS\system32\mssearchnet.exe har jeg slettet men med uden held. Det meste er gjort i fejlsikret tilstand.
Avatar billede jih Nybegynder
14. december 2005 - 18:02 #3
darth-domino > FireFox = Mozilla. Rettere sagt .. Mozilla ejer FireFox.

Prøv og se om du kan finde et der hedder WinAntiSpyware (el. lign.) i Start -> Indstillinger -> Kontrolpanel -> Tilføj/fjern programmer.. Hvis det er der, så fjern det (hvis du altså ikke vil have det).
Derefter går du ind i regedit og ser om du kan finde Microsoft AntiSpyware (brug evt. søgefunktionen), men den ligger enten i HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- eller -
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

prøv så og kør Ad-Aware igennem (full system scan)

Hijackthis loggen:

Jeg er ingen ekspert inden for hijackthis, og plejer bare at prøve mig frem og håbe herhjemme, så der vil jeg helst ikke give dig råd :P .. vi må bare håbe der kommer en eller anden, med forstand på det, forbi her.. som fx kalp..

Men prøv de ting jeg foreslog...
Avatar billede halvamatoer Nybegynder
14. december 2005 - 18:15 #4
Jvf. loggen kan jeg se du har været lidt igang - jeg mangler en fil spyaxe.exe - deroppe i loggen. Jeg kan se at 02-linjen er en del af spyaxe.

Gør følgende:
Citat fra Fromsej:

1. Hent og dobbeltklik på smitRem.exe

http://noahdfear.geekstogo.com/click%20counter/click.php?id=1

Programmet pakker sig ud til mappen smitRem.

2. Hent Ewido, hvis du ikke har den i forvejen:

http://www.spywarefri.dk/downloads1/ewido-setup.exe

Installer og kør Ewido - Opdater straks efter installationen programmet (men lad være med at scanne endnu).


3. Genstart i fejlsikret, hvis du ikke ved hvordan så kig her:

http://fromsej.dk/html/xpfejl.html


4. Åbn mappen smitRem, og dobbeltklik på RunThis.bat (Følg vejledningen i vinduet.)

5. Kør en fuld scanning med Ewido. Programmet laver en lille log, som du skal kopiere herind.

6. Genstart og kom med en frisk Hijackthislog, samt loggen fra Ewido. Find smitfiles.txt via Start/Søg. Kopier også denne log ind.

Så ser vi om den har fjernet det hele - det kan være vi skal fixe et par bagefter.
Avatar billede Slettet bruger
14. december 2005 - 18:43 #5
Tak for det, de herre!
Jeg må dog sige at jeg selv fandt ud af det og smitrem did the trick!
Jeg vil dog prøve dine andre anbefalninger for at være helt sikker.
Jeg vil dog dele pointene mellem webpsycho og halvamatoer!
Avatar billede halvamatoer Nybegynder
14. december 2005 - 19:22 #6
godt hvis ovenstående log er efter smitrem skal du fjerne:
O2 - BHO: HomepageBHO - {1ca480cd-c0e5-4548-874e-b85b17905b3a} - C:\WINDOWS\system32\hpA38E.tmp
Avatar billede jih Nybegynder
14. december 2005 - 19:38 #7
glad for det virker :)
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
Vil skrifte antivirusprogram. Af ErikHg i Virus 22 26/11/202510:42 23/12/202514:29
Er gratis Bitdefender værd at installere ? Af Ikke-ekspert i Virus 8 31/08/202519:08 01/09/202514:18
Ukendte filer på min Pc Af jonpet i Virus 10 03/02/202514:20 04/02/202511:05
mulig ukendt virus Af jackie18 i Virus 3 18/01/202514:07 18/01/202516:39
virus popper op med jævne mellemrum Af Malm i Virus 13 18/01/202511:40 20/01/202517:53
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
24/0417:35 Kan ikke resette PC med Windows 8.1 Af TTA i Office & Kontorpakker
24/0413:33 Lukning af Microsoftkonto Af ErikHg i Windows
23/0416:10 Bat file. Af johnnylassen i Andet programmering
23/0410:28 “Signe” Svindel omtalt i medier Af nu_igen i Mobiltelefoner
22/0420:59 RAID controller virker ikke ved tilslutning af alle 4 harddiske Af Strawberry i Andet hardware
White papers
Flere white papers »