Søg
Avatar billede jaze Nybegynder
26. juni 2006 - 23:20 Der er 22 kommentarer og
1 løsning

Nogen der kender look2Me og kan fjerne den

Jeg har prøvet snart sagt alle scannere, min HJT Log synes jeg ser fin ud, men flere scannere både online og loake siger der stadigvæk er spor af Look2Me.

Nogle filer med "randomname".dll som ikke kan slettes, omdøbes eller fjernes sikkerhed fra.

Jeg er efterhånden blank :|


Logfile of HijackThis v1.99.0
Scan saved at 23:19:47, on 26-06-2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programmer\Eset\nod32krn.exe
C:\Programmer\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\Messenger\msmsgs.exe
C:\WINDOWS\system32\sistray.exe
C:\WINDOWS\explorer.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\JYTTE OG JEPPE\Skrivebord\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmer\Java\jre1.5.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Programmer\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {01111E00-3E00-11D2-8470-0060089874ED} (Support.com SmartIssue) - https://netsupport2.tdconline.dk/sdccommon/download/tgctlsi.cab
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Trend Micro ActiveX Scan Agent 6.5) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NOD32 Kernel Service - Eset  - C:\Programmer\Eset\nod32krn.exe
O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Programmer\Analog Devices\SoundMAX\SMAgent.exe
Avatar billede forevernewbie Nybegynder
26. juni 2006 - 23:23 #1
Prøv lige dette værktøj, og kom så med en ny Hijackthis log http://www.f-secure.com/sw-desc/look2me.shtml
Avatar billede jaze Nybegynder
26. juni 2006 - 23:27 #2
hvor er det smukt, hvor kendte du det prog fra????? Har ledt i 1 time
Avatar billede jaze Nybegynder
26. juni 2006 - 23:28 #3
Logfile of HijackThis v1.99.0
Scan saved at 23:28:33, on 26-06-2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programmer\Eset\nod32krn.exe
C:\Programmer\Analog Devices\SoundMAX\SMAgent.exe
C:\Programmer\Eset\nod32kui.exe
C:\Programmer\Java\jre1.5.0_07\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\Messenger\msmsgs.exe
C:\WINDOWS\system32\sistray.exe
C:\Programmer\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\JYTTE OG JEPPE\Skrivebord\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmer\Java\jre1.5.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Programmer\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {01111E00-3E00-11D2-8470-0060089874ED} (Support.com SmartIssue) - https://netsupport2.tdconline.dk/sdccommon/download/tgctlsi.cab
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Trend Micro ActiveX Scan Agent 6.5) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NOD32 Kernel Service - Eset  - C:\Programmer\Eset\nod32krn.exe
O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Programmer\Analog Devices\SoundMAX\SMAgent.exe
Avatar billede jaze Nybegynder
26. juni 2006 - 23:32 #4
kun lidt tracking cookies tilbage i Ad-aware, Xoftpy, NOD32 ;)
Avatar billede jaze Nybegynder
26. juni 2006 - 23:32 #5
og dog, træerne voksede sgu iike ind i himlen, der kom lige en pop up bandig fra advertisment
Avatar billede forevernewbie Nybegynder
26. juni 2006 - 23:38 #6
Så prøv lige dette. Vi skal nok få det væk.

1. Hent Look2Me-Destroyer herfra:

http://www.atribune.org/ccount/click.php?id=7
Gem værktøjet på dit Skrivebord.

2. Luk alle åbne programvinduer - inklusiv Internet Explorer.

3. Dobbeltklik på Look2Me-Destroyer, sæt et flueben i "Run this program as a task". Du får en meddelelse om, at Look2Me-Destroyer vil lukke og åbne efter 10 sekunder - klik på OK.

4. Hvis din firewall vil blokere Look2Me-Destroyers adgang til nettet, så skal du lade programmet få adgang.
Hvis du får en runtime error 339, så skal du hente MSWINSCK.OCX herfra:
http://www.ascentive.com/support/new/images/lib/MSWINSCK.OCX
Læg den ned i mappen C:\Windows\System32.

5. Når Look2Me-Destroyer genåbner - klik på "Scan for L2M" - dine ikoner forsvinder - klik "Remove L2M". Klik OK når du får meddelelsen "Done scanning". Nu får du meddelelsen "Done removing infected files!. Programmet vil lukke din computer - klik OK.

Kopier Look2Me-Destroyer´s log her ind.

Hvis din firewall vil blokere Look2Me-Destroyers adgang til nettet, så skal du lade programmet få adgang.

Hvis du får en runtime error 339, så skal du hente MSWINSCK.OCX herfra:
http://www.ascentive.com/support/new/images/lib/MSWINSCK.OCX
...og placere den i mappen C:\Windows\System32 Directory.
Avatar billede jaze Nybegynder
26. juni 2006 - 23:42 #7
jeg har ingen spor efter Look2me mere, ved bare ikke hvor Advertisment kommer fra.
Avatar billede jaze Nybegynder
26. juni 2006 - 23:43 #8
btw http://www.atribune.org/ccount/click.php?id=7 ser ikke ud til at funge...
Avatar billede amews_aj Nybegynder
26. juni 2006 - 23:43 #9
advertisement kommer ofte frem når man går rundt på eksperten, medmindre man sørger for at pop-up blockeren tager den...
Avatar billede forevernewbie Nybegynder
26. juni 2006 - 23:43 #10
Der kan godt skjule sig noget de andre scannere ikke finder, så prøv lige at køre fixet alligevel
Avatar billede jaze Nybegynder
26. juni 2006 - 23:44 #11
for DELL bl.a den kan godt forklare det, synes jeg sgu bare ikke jeg normalt har lagt mærke til =)
Avatar billede forevernewbie Nybegynder
26. juni 2006 - 23:45 #12
Skidtet er nok begyndt at blokere for fixet, så jeg lægger det lige op. Øjeblik
Avatar billede amews_aj Nybegynder
26. juni 2006 - 23:49 #13
Jeg har lige prøvet at slå blokering af popup fra i IE og gået lidt rundt på eksperten, og jeg får her den advertisement op....
Avatar billede forevernewbie Nybegynder
26. juni 2006 - 23:50 #14
Hent Look2Me Destroyer her http://www.sitecenter.dk/secure/nss-folder/mappe/Look2Me1Destroyer.exe

Jeg tager den ned igen når du har hentet den. Den må ikke hostes
Avatar billede jaze Nybegynder
26. juni 2006 - 23:52 #15
her kommer en dug frisk log fra L2M

Look2Me-Destroyer V1.0.12

Scanning for infected files.....
Scan started at 26-06-2006 23:48:05

Infected! C:\WINDOWS\system32\u4rule991h.dll

Attempting to delete infected files...

Making registry repairs.

Removing: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Extensions

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{760049BA-0C0B-43CE-A899-5023B4931764}"
HKCR\Clsid\{760049BA-0C0B-43CE-A899-5023B4931764}

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{335B256A-A408-4408-AFEA-B94AD2E78B09}"
HKCR\Clsid\{335B256A-A408-4408-AFEA-B94AD2E78B09}

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{0A2C9F36-53B8-495B-9C2B-48691A144142}"
HKCR\Clsid\{0A2C9F36-53B8-495B-9C2B-48691A144142}

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{3045A038-73B2-4DB7-BAFE-1DDADB7E728E}"
HKCR\Clsid\{3045A038-73B2-4DB7-BAFE-1DDADB7E728E}

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{568C2427-EA68-452B-9784-AFE16F037802}"
HKCR\Clsid\{568C2427-EA68-452B-9784-AFE16F037802}

Restoring Windows certificates.

Replaced hosts file with default windows hosts file
Avatar billede jaze Nybegynder
26. juni 2006 - 23:55 #16
amews_aj>> Det er bare kanon du lige checkede det, fik du oz en fra DELL
Avatar billede amews_aj Nybegynder
26. juni 2006 - 23:56 #17
lagde ikke mærke til hvad det var for en, men de er vist forskellige fra gang til gang...
Avatar billede jaze Nybegynder
26. juni 2006 - 23:59 #18
normalt ja, men jeg får bare konsekvent en fra DELL herinde :| men der er nu intet der ser forkert ud længere :)

forevernewbie>> Du har været kanon og kommer med i aften bønnen. Smid et svar
Avatar billede forevernewbie Nybegynder
27. juni 2006 - 00:01 #19
Hvis du stadigvæk får popups, så kør disse to scannere:

Hvis de ikke nupper det sidste, må vi ned og kigge i dit Windows.


Hent denne scanner ned til skrivebordet ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe Vent med at aktivere den.


Hent denne scanner http://www.superantispyware.com/downloads/SUPERAntiSpyware1241.exe

Installer, og opdater scanneren manuelt. OBS, ved installationen bliver det foreslået at du registrerer med din email. Det behøver du ikke at gøre.


Start op i fejlsikret tilstand (tast f8 flere gange under opstart). Hvis du ikke kan det, så se her
http://www.ctrlaltdel.dk/forum/forum_posts.asp?TID=110&PN=1


Dobbeltklik på drweb-cureit.exe. Den vil køre en expressscan, og det siger du ja til.

Når den skriver "Select object for scanning" nederst til venstre, skal du klikke på Options->Change settings.

Skift til fanebladet SCAN, og fjern fluebenet ved "Heuristic analysis".

Skift til fanebladet Actions. Under ADWARE indstiller du til DELETE. Alle andre punkter under MALWARE sættes til MOVE. Fjern fluebenet ved PROMPT ON ACTION. Klik ANVEND og OK.

Klik på det de drev du vil have scannet. Der kommer en rød prik, som viser at de er valgt.

Klik på den grønne pil ovre til højre på siden, for at starte scanningen.


Når scanningen er færdig, så find mappen Dr Web som ligger på dit hoveddrev, typisk C drevet, og find CUREIT.LOG. Scroll helt ned i bunden af loggen, hvor der står SCAN PATH og SCAN STATISTICS (KUN de nederste) og kopier det her ind. 


Start SuperAntiSpyware, klik "Scan your computer", sæt flueben i dine drev, ovre til venstre i vinduet. Ovre til højre i vinduet, sætter du prik i "Perform Complete Scan". Klik "næste", nu scanner den. Når den er færdig, så markerer du det den finder, og lader scannereren fjerne det.

Genstart til normal tilstand (scanneren tilbyder måske at gøre det).

Åbn scanneren igen, og klik "preferences"-> "stastics/logs". Marker loggen, og klik "View log". Kopier loggen her ind i tråden, sammen med CUREIT loggen, og en frisk HijackThis log.
Avatar billede forevernewbie Nybegynder
27. juni 2006 - 00:02 #20
Okay, havde ikke lige set dit indlæg, men prøv lige de scannere alligevel
Avatar billede forevernewbie Nybegynder
27. juni 2006 - 00:18 #21
Jeg siger godnat for i aften, men er tilbage i morgen, hvis du skulle have flere spørgsmål
Avatar billede jaze Nybegynder
27. juni 2006 - 09:02 #22
takker og bukker
Avatar billede forevernewbie Nybegynder
27. juni 2006 - 17:32 #23
Velbekomme

Efter et virus/spyware angreb, er det altid en god ide at rydde op i systemgendannelses filerne. Deaktiver systemgendannelse (http://www.spywarefri.dk/virusscannere.htm#alle) - genstart din computer - aktiver systemgendannelse.

Hent ATF Cleaner her fra http://www.atribune.org/content/view/19/2/

Start ATF Cleaner. Sæt flueben i "Select all" (du kan undlade cookies, hvis du vil). Klik "Empty selected".

Link til sikring af din computer http://www.spywarefri.dk/manualer/sikkerhedspakke.htm
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
Vil skrifte antivirusprogram. Af ErikHg i Virus 22 26/11/202510:42 23/12/202514:29
Er gratis Bitdefender værd at installere ? Af Ikke-ekspert i Virus 8 31/08/202519:08 01/09/202514:18
Ukendte filer på min Pc Af jonpet i Virus 10 03/02/202514:20 04/02/202511:05
mulig ukendt virus Af jackie18 i Virus 3 18/01/202514:07 18/01/202516:39
virus popper op med jævne mellemrum Af Malm i Virus 13 18/01/202511:40 20/01/202517:53
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
59 min siden Logge ind hos Amazon.de Af Malm i E-handel
I dag 09:46 Messinger virker ikke på Windows 10 og Windows 11 Af eksmojo i Windows
I går 17:32 Jeg kan ikke opdatere min iPad til ios 26.4.1. Af Bettina i Apps til iOS
I går 08:32 Office pakke LTSC vs Retail? Af Don G i Office & Kontorpakker
10/0421:19 Lydindstilling Prosonic TV Af TageArent i Fjernsyn & projektorer
White papers
Flere white papers »