Notifikationer

Markér alle som læst Log ud

htmlkongen Novice

14. marts 2006 - 21:49 Der er 18 kommentarer og
1 løsning

Spy Falcon?

Hvordan fjerner jeg den belastende Adware Spy Falcon.
Jeg har prøvet som der står her: www.eksperten/spg/691105
altså...:
genstart i fejlsikret
Fjern den fra Tilføj fjern
Lavede en regedit fil som den har flettet i databasen
Set om mappen Program Files/spyFalcon er der (hvilket den ikke var!)
Kørt SmitRem og SpySweeper bagefter

Alt sammen i fejlsikret tilstand, men så snart jeg starter normalt op igen kommer den efter 1 min.

HVORDAN FJERNER JEG DEN HELT? For good?

Er der lavet et program der kan fjerne den?

HIJACK LOG:

Logfile of HijackThis v1.99.1
Scan saved at 21:49:34, on 14-03-2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\BullGuard Software\BullGuard 5.0\bullguard.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\BullGuard Software\BullGuard 5.0\BullGuardUpdate.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Analog Devices\SoundMAX\SMAgent.exe
C:\Programmer\Webroot\Spy Sweeper\WRSSSDK.exe
C:\Programmer\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
O4 - HKLM\..\Run: [SpySweeper] "C:\Programmer\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKCU\..\Run: [BullGuard 5.0] "C:\Programmer\BullGuard Software\BullGuard 5.0\bullguard.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.bgbank.dk/html/activex/e-Safekey/BG/e-Safekey.cab
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: BullGuard LiveUpdate (BGLiveSvc) - BullGuard, Ltd. - C:\Programmer\BullGuard Software\BullGuard 5.0\BullGuardUpdate.exe
O23 - Service: BullGuard Main (BGMainSvc) - Unknown owner - C:\WINDOWS\System32\svchost.exe" -k bg5 (file missing)
O23 - Service: BullGuard File Monitoring (BsFileSpy) - Unknown owner - C:\WINDOWS\System32\svchost.exe" -k bg5 (file missing)
O23 - Service: BullGuard Firewall (BsFirewall) - Unknown owner - C:\WINDOWS\System32\svchost.exe" -k bg5 (file missing)
O23 - Service: BullGuard Email Monitoring (BsMailProxy) - Unknown owner - C:\WINDOWS\System32\svchost.exe" -k bg5 (file missing)
O23 - Service: Pml Driver HPH11 - HP - C:\WINDOWS\System32\HPHipm11.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmer\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programmer\Webroot\Spy Sweeper\WRSSSDK.exe

Synes godt om

ejvindh Ekspert

14. marts 2006 - 22:07 #1

-- Hent og dobbeltklik på smitRem.exe
http://noahdfear.geekstogo.com/click%20counter/click.php?id=1
Programmet pakker sig ud til mappen smitRem.

-- Hent Ewido, hvis du ikke har den i forvejen:
http://www.spywarefri.dk/downloads1/ewido-setup.exe
Installer og kør Ewido - Opdater straks efter installationen programmet (men lad være med at scanne endnu).

-- Hent disse to filer. Du skal bruge dem senere
Hent FixFalcon her http://www.sitecenter.dk/secure/nss-folder/mappe/downloads/FixFalcon.exe
Hent også denne fil http://www.mvps.org/winhelp2002/DelDomains.inf

-- Genstart i fejlsikret. Hvis du ikke ved hvordan så kig her:
http://www.ctrlaltdel.dk/forum/forum_posts.asp?TID=110&PN=1

-- Åbn FixFalcon.exe. Når den er udpakket, så klik på mappen i øverste højre hjørne. Find og marker SpyF, klik ÅBN. Klik EXECUTE. Dine ikoner på skrivebordet vil forsvinde i et øjeblik. Når fixet færdigt, klik Exit.

-- Åbn mappen smitRem, og dobbeltklik på RunThis.bat (Følg vejledningen i vinduet.)

-- Kør så en fuld scanning med Ewido. Programmet laver en lille log, som du skal kopiere herind.

-- Genstart til normal tilstand. Højreklik på DelDomains, og vælg installer (BEMÆRK: Hvis du har IE-Spyad eller Spywareblaster installeret, skal deres beskyttelse genaktiveres.)

-- Genstart og kom med en frisk Hijackthis log, samt loggen fra Ewido. Find smitfiles.txt via Start/Søg. Kopier også denne log ind.

Synes godt om

htmlkongen Novice

15. marts 2006 - 10:18 #2

Hey. Tak for konkret svar - men øhhh... :) Findes der ikke et program / en lettere måde at gøre det på? Det er jo næsten ikke for alm. mennesker :)

Synes godt om

ejvindh Ekspert

15. marts 2006 - 10:34 #3

Det er vist meningen, at smitrem efterhånden skal opdateres til at tage Spyfalcon, men ham der udvikler på det værktøje er vist desværre gået walkabout i øjeblikket. Derfor har STL (inde på Spywarefri -- kendt som forevernewbie herinde) udviklet et "tillægs-værktøj", som vi så må "nøjes" med sålænge :-)

Takker for point. Jeg håber det betyder, at du kom af med skidtet :-)

Synes godt om

htmlkongen Novice

15. marts 2006 - 10:38 #4

Oki doki - fx er der mange måder at komme af med Tjenesten Messenger på, men den letteste er ShootTheMessenger og det kunne bare være genialt hvis der var et program som det til netop denne her :)

Tak for hjælpen - jeg prøver lige når jeg kommer hjem med din process :)

Synes godt om

forevernewbie Nybegynder

15. marts 2006 - 11:56 #5

Det ville da være fedt, om vi havde et program, hvor vi bare skulle klikke "slå alt malware ihjel", men så enkelt er det desværre ikke. Ejvinds procedure ser nok lidt mere besværlig ud, end den er, så bare kør den trin for trin, så skal det nok gå, og jeg vil godt love dig at "falken" er stendød bagefter.

Synes godt om

htmlkongen Novice

15. marts 2006 - 12:11 #6

Hehe super :)

Jeps jeg ved godt at man ikke kan klare det hele med et klik - det underlige var bare at jeg lavede næsten den samme procedure igår (endda fra 2 forskellige siders fremgangsmåde) og alligevel kom den op. Øv øv.

Men jeg stoler på jer fellas in here! :D

Synes godt om

htmlkongen Novice

15. marts 2006 - 12:12 #7

For i øvrigt søgte jeg på google og den se lige her: http://www.remove-spyfalcon.com/

Men de ville have penge for det :(

Synes godt om

forevernewbie Nybegynder

15. marts 2006 - 12:17 #8

Skidtmagerne opdaterer hele tiden deres skidt, og vi skal så prøve at følge med, og det fix du har fået virker lige pt. Det andet skal du ikke røre ved.

Synes godt om

htmlkongen Novice

15. marts 2006 - 12:43 #9

Super - gir det et forsøg :) Thanks a lot

Synes godt om

htmlkongen Novice

15. marts 2006 - 18:58 #10

Log:

---------------------------------------------------------
ewido anti-malware - Scanningsrapport
---------------------------------------------------------

+ Oprettet den: 18:58:24, 15-03-2006
+ Rapport-Checksum: 35F287E5

+ Scanningsresultat:
C:\Documents and Settings\Administrator\Cookies\administrator@adtech[1].txt -> TrackingCookie.Adtech : Renset med backup
C:\Documents and Settings\Administrator\Cookies\administrator@mediaplex[1].txt -> TrackingCookie.Mediaplex : Renset med backup
C:\Documents and Settings\Frederikshaldvej\Cookies\frederikshaldvej@adtech[2].txt -> TrackingCookie.Adtech : Renset med backup
C:\Documents and Settings\Frederikshaldvej\Cookies\frederikshaldvej@mediaplex[1].txt -> TrackingCookie.Mediaplex : Renset med backup
C:\hijackthis\backups\backup-20060314-204659-594.dll -> Downloader.Zlob.ik : Renset med backup

::Rapport slut

Synes godt om

htmlkongen Novice

15. marts 2006 - 19:03 #11

Logfile of HijackThis v1.99.1
Scan saved at 19:03:01, on 15-03-2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programmer\BullGuard Software\BullGuard 5.0\bullguard.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\BullGuard Software\BullGuard 5.0\BullGuardUpdate.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\ewido\security suite\ewidoctrl.exe
C:\Programmer\ewido\security suite\ewidoguard.exe
C:\Programmer\Analog Devices\SoundMAX\SMAgent.exe
C:\Programmer\Webroot\Spy Sweeper\WRSSSDK.exe
C:\Programmer\BullGuard Software\BullGuard 5.0\BgNewsUI.exe
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
O4 - HKLM\..\Run: [SpySweeper] "C:\Programmer\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKCU\..\Run: [BullGuard 5.0] "C:\Programmer\BullGuard Software\BullGuard 5.0\bullguard.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.bgbank.dk/html/activex/e-Safekey/BG/e-Safekey.cab
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: BullGuard LiveUpdate (BGLiveSvc) - BullGuard, Ltd. - C:\Programmer\BullGuard Software\BullGuard 5.0\BullGuardUpdate.exe
O23 - Service: BullGuard Main (BGMainSvc) - Unknown owner - C:\WINDOWS\System32\svchost.exe" -k bg5 (file missing)
O23 - Service: BullGuard File Monitoring (BsFileSpy) - Unknown owner - C:\WINDOWS\System32\svchost.exe" -k bg5 (file missing)
O23 - Service: BullGuard Firewall (BsFirewall) - Unknown owner - C:\WINDOWS\System32\svchost.exe" -k bg5 (file missing)
O23 - Service: BullGuard Email Monitoring (BsMailProxy) - Unknown owner - C:\WINDOWS\System32\svchost.exe" -k bg5 (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Programmer\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmer\ewido\security suite\ewidoguard.exe
O23 - Service: Pml Driver HPH11 - HP - C:\WINDOWS\System32\HPHipm11.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmer\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programmer\Webroot\Spy Sweeper\WRSSSDK.exe

Synes godt om

htmlkongen Novice

15. marts 2006 - 19:04 #12

Frisk smitfiles:

smitRem © log file
version 2.8

by noahdfear

Microsoft Windows XP [version 5.1.2600]

Running from
C:\Programmer til at fjerne spylort\amitrem\smitRem

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Pre-run SharedTask Export

(GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler)
Copyright(C) 2006 BleepingComputer.com

Registry Pseudo-Format Mode (Not a valid reg file):

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key

PSGuard.com key not present!

checking for WinHound.com key

WinHound.com key not present!

spyaxe uninstaller NOT present
Winhound uninstaller NOT present
SpywareStrike uninstaller NOT present

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files

~~~ Program Files ~~~

~~~ Shortcuts ~~~

~~~ Favorites ~~~

~~~ system32 folder ~~~

~~~ Icons in System32 ~~~

~~~ Windows directory ~~~

~~~ Drive root ~~~

~~~ Miscellaneous Files/folders ~~~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 2036 'explorer.exe'
Killing PID 2036 'explorer.exe'

Starting registry repairs

Registry repairs complete

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

SharedTask Export after registry fix

(GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler)
Copyright(C) 2006 BleepingComputer.com

Registry Pseudo-Format Mode (Not a valid reg file):

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Deleting files

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Remaining Post-run Files

~~~ Program Files ~~~

~~~ Shortcuts ~~~

~~~ Favorites ~~~

~~~ system32 folder ~~~

~~~ Icons in System32 ~~~

~~~ Windows directory ~~~

~~~ Drive root ~~~

~~~ Miscellaneous Files/folders ~~~

~~~ Wininet.dll ~~~

CLEAN! :)

Synes godt om

htmlkongen Novice

15. marts 2006 - 19:06 #13

Forresten ligger der et ikon(!) i START øverst. Er det kun et ikon????

Der ligger ikke mere i TILFØJ/Fjern ... Er det et godt tegn?

Synes godt om

Computer Hjælp (Gratis) Mester

15. marts 2006 - 19:11 #14

Generelt - 'Talen':

Du har ikke opdateret dit Windows XP til ServicePack2 (SP2).
"Ubeskyttede pc’er holder i 20 minutter]":
http://forum.mib-eu.dk/forum_posts.asp?TID=44

Det er ikke så godt, for så er du ikke sikret mod mange af de vira, der suser rundt på nettet og kigger efter uopdaterede maskiner.

Du kan hente ServicePack2 (SP2) her som 'løs' fil (~280Mb):
http://intern.sdu.dk/it-service/tjenester/ftphotel/ftpindhold/
Download/copy til et passende sted på HD.
Afbryd fra det 'farlige' internet (stikket fysisk UD).
Instaler SP2 pakken.
Når det er så gået godt og efter en genstart eller to - først DA tilslut internettet igen og gå i start ->programmer ->Windowsupdate og lade din maskine scanne for nyeste opdateringer. Installer dem du får anbefalet. Der skal nok være >40 'pakker' ...

Good Luck... men først når putter er erklæret 'ren' ...

(Tja - hvis du ikke får dette gennemført ses vi nok snart igen...i virus kategorien?)

Synes godt om

ejvindh Ekspert

15. marts 2006 - 19:20 #15

dr1: Lige præcis med denne infektion, så hjælper SP2 ikke, eftersom spyfalcon benytter sig af et sikkerhedshul, der først er blevet repareret i januar.

Htmlkongen: Logsene ser gode ud. Det ikon øverst i startmenuen skulle du gerne kunne slette ved at højreklikke, og vælge slet. Ellers må du lige sige til. Kan du bekræfte, at du er sluppet af med symptomerne på infektionen?

Synes godt om

Computer Hjælp (Gratis) Mester

15. marts 2006 - 19:32 #16

<ejvindh>: Jo - hvis man 'kun' lægger SP2 på og derefter _ikke_ følger op mere eller mindre automatisk så dukker der (desværre) disse huller op... som diverse uønskede elementer/programmer benytter sig af...
... men hvis man sætter putter til automatisk at gøre opmærksom på/sakse/instalere opdateringer fra M$ så ville det jo være blevet stoppet...

Synes godt om

ejvindh Ekspert

15. marts 2006 - 19:43 #17

dr1: Ja, ok. Jeg havde ikke læst hele dit indlæg ordentligt, og derfor ikke fået din pointe om Windowsupdate med :-)

htmlkongen: Angående det ikon i din start-menu, så kunne det måske være nyttigt for os, hvis du vil give os det præcise navn på den -- så den kan blive implementeret i fixet til fremtidig brug *S*

Synes godt om

htmlkongen Novice

17. marts 2006 - 09:00 #18

Hey friends!

Yes den er fjernet. Ejvindh>> Jeg ved ikke hvad det hedder, men det er den der ligger der i forvejen når selve virussen er der..

Jeg får lige opdateret computeren så den bliver sikker igen :)

Thanks a lot!

Synes godt om

ejvindh Ekspert

17. marts 2006 - 11:54 #19

Det var så lidt :-)
Ærgeligt at du ikke kender navnet, men jeg håber du er kommet af med den.

Synes godt om

Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Følg dette spørgsmål

Opret Preview

Se alle it-kurser fra Computerworld Kurser

IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel	Indlæg	Oprettet	Seneste aktivitet
Vil skrifte antivirusprogram. Af ErikHg i Virus	22	26/11/202510:42	23/12/202514:29
Er gratis Bitdefender værd at installere ? Af Ikke-ekspert i Virus	8	31/08/202519:08	01/09/202514:18
Ukendte filer på min Pc Af jonpet i Virus	10	03/02/202514:20	04/02/202511:05
mulig ukendt virus Af jackie18 i Virus	3	18/01/202514:07	18/01/202516:39
virus popper op med jævne mellemrum Af Malm i Virus	13	18/01/202511:40	20/01/202517:53

Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten

Seneste artiklerRSS