Søg
Avatar billede lowas Nybegynder
28. juni 2006 - 08:51 Der er 16 kommentarer og
2 løsninger

Har fået spyware

Har formateret min pc, og har pludselig fået spyware, som først og fremmest har invaderet min pc, og forlanger at jeg installerer spyware programmer. Orker ikke at formatere min pc igen, så beder jer om at hjælpe mig med at fjerne disse, vha. hijakcthis log.
På forhånd tak
Her er min hijakcthis log:

Logfile of HijackThis v1.99.1
Scan saved at 18:01:41, on 27-06-2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\atmclk.exe
C:\WINDOWS\System32\dcomcfg.exe
C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\45a1848.exe
C:\Programmer\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\SSTEM3~1\logonui.exe
C:\Programmer\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Documents and Settings\Family man\Application Data\??stem\?hkntfs.exe
C:\Programmer\Internet Explorer\iexplore.exe
D:\Værktøj\winrar\WinRAR.exe
C:\DOCUME~1\FAMILY~1\LOKALE~1\Temp\Rar$EX00.094\HijackThis.exe
C:\DOCUME~1\FAMILY~1\LOKALE~1\Temp\Rar$EX01.328\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = prosearching.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = prosearching.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = prosearching.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = prosearching.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
R3 - URLSearchHook: (no name) - {21735434-CCF6-CC70-F215-EE1CF5ECB3C4} - C:\WINDOWS\System32\ylt.dll
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {21735434-CCF6-CC70-F215-EE1CF5ECB3C4} - C:\WINDOWS\System32\ylt.dll
O2 - BHO: Nothing - {5f4c3d09-b3b9-4f88-aa82-31332fee1c08} - C:\WINDOWS\System32\hp100.tmp
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\nnnljii.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [45a1848.exe] C:\WINDOWS\System32\45a1848.exe
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programmer\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [45a1848.exe] C:\Documents and Settings\Family man\Lokale indstillinger\Application Data\45a1848.exe
O4 - HKCU\..\Run: [Ioor] "C:\WINDOWS\SSTEM3~1\logonui.exe" -vt yazr
O4 - HKCU\..\Run: [Agko] C:\Documents and Settings\Family man\Application Data\??stem\?hkntfs.exe
O4 - Global Startup: palstart.exe
O8 - Extra context menu item: &Clean Traces - D:\Værktøj\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - D:\Værktøj\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - D:\Værktøj\DAP\dapextie2.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1151156714859
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs:  C:\WINDOWS\System32\nslookup.dll  C:\WINDOWS\System32\regedit.dll
O20 - Winlogon Notify: nnnljii - C:\WINDOWS\SYSTEM32\nnnljii.dll
O20 - Winlogon Notify: wintfj32 - C:\WINDOWS\SYSTEM32\wintfj32.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\Programmer\Symantec\Norton Ghost 2003\GhostStartService.exe
Avatar billede Computer Hjælp (Gratis) Mester
28. juni 2006 - 09:07 #1
... der er også en del 'snavs' ...
Rul (resten) af proceduren herfra:
http://www.eksperten.dk/artikler/954

(Ikke nødvendigvis mig der følger op...)

Pokkers mange der har denne "prosearching.com" 'ting' fortiden...
Avatar billede lowas Nybegynder
28. juni 2006 - 09:11 #2
okay går igang nu, giver feedback når jeg er nået til Klik så på Start->Søg, find filen CureIt.log kopier det nederste af teksten herind, startende med:
Scan statistics.
Avatar billede lowas Nybegynder
28. juni 2006 - 09:25 #3
Et spørgsmål: når jeg er nået til det punkt hvor dr.web har scannet færdig, og der står jeg jeg skal gøre følgende: Start->Søg, find filen CureIt.log kopier det nederste af teksten herind, startende med: Scan statistics. Skal jeg så gøre det, og vente på du siger jeg skal forsætte, eller skal jeg bare forsætte med sas med det samme?
Avatar billede Computer Hjælp (Gratis) Mester
28. juni 2006 - 09:40 #4
... fortsæt...

Log teksten/teksterne lægges ind i denne tråd...
Avatar billede lowas Nybegynder
28. juni 2006 - 09:41 #5
fint det gør jeg så
Avatar billede lowas Nybegynder
28. juni 2006 - 09:54 #6
her er den allernederste Scan statistic(nederste del af teksten)
-----------------------------------------------------------------------------
Scan statistics
-----------------------------------------------------------------------------
Objects scanned: 59098
Infected objects found: 17
Objects with modifications found: 0
Suspicious objects found: 0
Adware programs found: 9
Dialer programs found: 0
Joke programs found: 0
Riskware programs found: 0
Hacktool programs found: 0
Objects cured: 0
Objects deleted: 13
Objects renamed: 9
Objects moved: 2
Objects ignored: 0
Scan speed: 1183 Kb/s
Scan time: 00:33:00
-----------------------------------------------------------------------------
Avatar billede lowas Nybegynder
28. juni 2006 - 10:12 #7
Her er resultatet af sas testen:
____________________________________

SUPERAntiSpyware Scan Log
Generated 06/28/2006 at 10:06 AM

Core Rules Database Version : 2995
Trace Rules Database Version: 1079

Memory threats detected  : 0
Registry threats detected : 33
File threats detected    : 56

Adware.ClickSpring
    [Ioor] C:\WINDOWS\SSTEM3~1\logonui.exe
    C:\WINDOWS\SSTEM3~1\logonui.exe
    HKLM\Software\Classes\CLSID\{21735434-CCF6-CC70-F215-EE1CF5ECB3C4}
    HKCR\CLSID\{21735434-CCF6-CC70-F215-EE1CF5ECB3C4}
    HKCR\CLSID\{21735434-CCF6-CC70-F215-EE1CF5ECB3C4}\InprocServer32
    HKCR\CLSID\{21735434-CCF6-CC70-F215-EE1CF5ECB3C4}\InprocServer32#ThreadingModel
    HKCR\CLSID\{21735434-CCF6-CC70-F215-EE1CF5ECB3C4}\Programmable
    HKCR\CLSID\{21735434-CCF6-CC70-F215-EE1CF5ECB3C4}\TypeLib
    C:\WINDOWS\System32\ylt.dll
    HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{21735434-CCF6-CC70-F215-EE1CF5ECB3C4}
    HKU\S-1-5-21-1343024091-1383384898-725345543-1003\Software\Microsoft\Internet Explorer\URLSearchHooks#{21735434-CCF6-CC70-F215-EE1CF5ECB3C4}
    HKCR\TypeLib\{E35702E6-F6E7-C825-D1FE-C124A0C04D4D}
    C:\Documents and Settings\Family man\Application Data\STEM~1\HKNTFS~1.EXE
    C:\WINDOWS\system32\nslookup.#ll
    C:\WINDOWS\system32\regedit.#ll

Trojan.Homepage
    HKLM\Software\Classes\CLSID\{5f4c3d09-b3b9-4f88-aa82-31332fee1c08}
    HKCR\CLSID\{5f4c3d09-b3b9-4f88-aa82-31332fee1c08}
    HKCR\CLSID\{5f4c3d09-b3b9-4f88-aa82-31332fee1c08}
    HKCR\CLSID\{5f4c3d09-b3b9-4f88-aa82-31332fee1c08}\InprocServer32
    HKCR\CLSID\{5f4c3d09-b3b9-4f88-aa82-31332fee1c08}\InprocServer32#ThreadingModel
    C:\WINDOWS\System32\hp100.tmp
    HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5f4c3d09-b3b9-4f88-aa82-31332fee1c08}

Unclassified.Unknown Origin
    HKU\S-1-5-21-1343024091-1383384898-725345543-1003\Software\Classes\CLSID\{7916f057-223f-4612-ac84-e882cbe043d4}
    HKCR\CLSID\{7916f057-223f-4612-ac84-e882cbe043d4}
    HKCR\CLSID\{7916f057-223f-4612-ac84-e882cbe043d4}\InProcServer32
    HKCR\CLSID\{7916f057-223f-4612-ac84-e882cbe043d4}\InProcServer32#ThreadingModel
    C:\WINDOWS\System32\hvcycg.dll
    HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler#{7916f057-223f-4612-ac84-e882cbe043d4}
    HKCR\CLSID\{7916F057-223F-4612-AC84-E882CBE043D4}

Adware.Tracking Cookie
    C:\Documents and Settings\Family man\Cookies\family man@a[1].txt
    C:\Documents and Settings\Family man\Cookies\family man@centrebet.advertserve[1].txt
    C:\Documents and Settings\Family man\Cookies\family man@warlog[1].txt
    C:\Documents and Settings\Family man\Cookies\family man@mb[3].txt
    C:\Documents and Settings\Family man\Cookies\family man@1070972294[1].txt
    C:\Documents and Settings\Family man\Cookies\family man@m1.webstats4u[2].txt
    C:\Documents and Settings\Family man\Cookies\family man@tribalfusion[1].txt
    C:\Documents and Settings\Family man\Cookies\family man@mediaplex[1].txt
    C:\Documents and Settings\Family man\Cookies\family man@ads.cdfreaks[1].txt
    C:\Documents and Settings\Family man\Cookies\family man@stats[1].txt
    C:\Documents and Settings\Family man\Cookies\family man@ehg-bskyb.hitbox[1].txt
    C:\Documents and Settings\Family man\Cookies\family man@1071681776[1].txt
    C:\Documents and Settings\Family man\Cookies\family man@888[1].txt
    C:\Documents and Settings\Family man\Cookies\family man@http.edge.vru4[1].txt
    C:\Documents and Settings\Family man\Cookies\family man@bannere.fyens[2].txt
    C:\Documents and Settings\Family man\Cookies\family man@yadro[1].txt
    C:\Documents and Settings\Family man\Cookies\family man@doubleclick[2].txt
    C:\Documents and Settings\Family man\Cookies\family man@cgi-bin[2].txt
    C:\Documents and Settings\Family man\Cookies\family man@adtech[2].txt
    C:\Documents and Settings\Family man\Cookies\family man@ad1.emediate[1].txt
    C:\Documents and Settings\Family man\Cookies\family man@interclick[1].txt
    C:\Documents and Settings\Family man\Cookies\family man@mb[1].txt
    C:\Documents and Settings\Family man\Cookies\family man@cassava[1].txt
    C:\Documents and Settings\Family man\Cookies\family man@www.pesttrap[1].txt
    C:\Documents and Settings\Family man\Cookies\family man@indexstats[1].txt
    C:\Documents and Settings\Family man\Cookies\family man@tacoda[1].txt
    C:\Documents and Settings\Family man\Cookies\family man@revsci[1].txt
    C:\Documents and Settings\Family man\Cookies\family man@ads2.jubii[2].txt
    C:\Documents and Settings\Family man\Cookies\family man@stats1.reliablestats[1].txt
    C:\Documents and Settings\Family man\Cookies\family man@64571240[1].txt
    C:\Documents and Settings\Family man\Cookies\family man@track.adform[2].txt
    C:\Documents and Settings\Family man\Cookies\family man@18766632[1].txt
    C:\Documents and Settings\Family man\Cookies\family man@atdmt[2].txt
    C:\Documents and Settings\Family man\Cookies\family man@ad.yieldmanager[2].txt
    C:\Documents and Settings\Family man\Cookies\family man@1071651628[1].txt
    C:\Documents and Settings\Family man\Cookies\family man@usautoparts.122.2o7[1].txt
    C:\Documents and Settings\Family man\Cookies\family man@80232283[1].txt
    C:\Documents and Settings\Family man\Cookies\family man@adbrite[1].txt
    C:\Documents and Settings\Family man\Cookies\family man@j2global.122.2o7[1].txt
    C:\Documents and Settings\Family man\Cookies\family man@clickability[1].txt
    C:\Documents and Settings\Family man\Cookies\family man@s.clickability[1].txt

Adware.Avenue Media/Internet Optimizer
    HKU\S-1-5-21-1343024091-1383384898-725345543-1003\Software\Microsoft\Internet Explorer\URLSearchHooks#_{CFBFAE00-17A6-11D0-99CB-00C04FD64497}

Browser Hijacker.Internet Explorer Settings Hijack
    HKLM\Software\Microsoft\Internet Explorer\Main#Start Page [ prosearching.com ]
    HKU\S-1-5-21-1343024091-1383384898-725345543-1003\Software\Microsoft\Internet Explorer\Main#Search Page [ prosearching.com ]
    HKLM\Software\Microsoft\Internet Explorer\Main#Search Page [ prosearching.com ]
    HKU\S-1-5-21-1343024091-1383384898-725345543-1003\Software\Microsoft\Internet Explorer\Main#Local Page [ prosearching.com ]
    HKLM\Software\Microsoft\Internet Explorer\Main#Local Page [ prosearching.com ]
    HKU\S-1-5-21-1343024091-1383384898-725345543-1003\Software\Microsoft\Internet Explorer\Main#Default_Search_URL [ prosearching.com ]
    HKLM\Software\Microsoft\Internet Explorer\Main#Default_Search_URL [ prosearching.com ]

Trojan.DCOMCfg
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run#dcomcfg.exe [ dcomcfg.exe ]
    C:\WINDOWS\system32\dcomcfg.exe
    C:\WINDOWS\Prefetch\DCOMCFG.EXE-1E780C99.pf

Trojan.AtmClk
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run#kernel32.dll [ C:\WINDOWS\System32\atmclk.exe ]
    C:\WINDOWS\system32\atmclk.exe
    C:\WINDOWS\Prefetch\ATMCLK.EXE-15A39E48.pf

Trojan.Homepage/Puper
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run#wininet.dll [ regperf.exe ]

Adware.ClickSpring/Yazzle
    C:\Documents and Settings\Family man\Lokale indstillinger\Temp\nsy1DC.tmp\YazzleBundle-1304.exe

Trojan.RegPerf
    C:\WINDOWS\system32\regperf.exe

Adware.ClickSpring/PuritySCAN
    C:\WINDOWS\system32\wapicc.exe

Malware.SpywareQuake
    C:\WINDOWS\Temp\sa7F.exe
Avatar billede lowas Nybegynder
28. juni 2006 - 10:13 #8
Her er resultatet af min nye hijackthis log:
______________________________________________

Logfile of HijackThis v1.99.1
Scan saved at 10:13:36, on 28-06-2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmer\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\Symantec\Norton Ghost 2003\GhostStartService.exe
D:\Programmer\sas\SUPERAntiSpyware.exe
C:\Documents and Settings\All Users\Menuen Start\Programmer\Start\palstart.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\DOCUME~1\FAMILY~1\LOKALE~1\Temp\Rar$EX00.531\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = prosearching.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = prosearching.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.tv2.dk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = prosearching.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = prosearching.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
R3 - Default URLSearchHook is missing
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programmer\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [45a1848.exe] C:\Documents and Settings\Family man\Lokale indstillinger\Application Data\45a1848.exe
O4 - HKCU\..\Run: [Agko] C:\Documents and Settings\Family man\Application Data\??stem\?hkntfs.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] D:\Programmer\sas\SUPERAntiSpyware.exe
O4 - Global Startup: palstart.exe
O8 - Extra context menu item: &Clean Traces - D:\Værktøj\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - D:\Værktøj\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - D:\Værktøj\DAP\dapextie2.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1151156714859
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs:  C:\WINDOWS\System32\nslookup.dll  C:\WINDOWS\System32\regedit.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\Programmer\Symantec\Norton Ghost 2003\GhostStartService.exe
Avatar billede Computer Hjælp (Gratis) Mester
28. juni 2006 - 10:41 #9
StandBy ...
(Der er stadig en del 'snavs' - incl denne "prosearching.com" ting...)
Avatar billede lowas Nybegynder
28. juni 2006 - 10:45 #10
Skal vi ikke fjerne den via. hijackthis??
Avatar billede ejvindh Ekspert
28. juni 2006 - 11:07 #11
På opfordring af dr1 blander jeg mig lidt her: Der er gjort et fint stykke arbejde hidtil. Jeg tror de fleste infektioner er slået ned, så prøv lige følgende:

Gå ind i Tilføj/fjern programmer (i kontrolpanelet) og afinstaller PurityScan, hvis du kan finde den.

Jeg vil også anbefale dig at afinstaller DAP, da den er adwarebaseret, og har en fortid som spywareinficeret. Se et rent alternativ her:
www.startdownloader.com

Kør herefter Hijackthis, og fix følgende linier:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = prosearching.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = prosearching.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = prosearching.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = prosearching.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com
R3 - Default URLSearchHook is missing
O4 - HKCU\..\Run: [45a1848.exe] C:\Documents and Settings\Family man\Lokale indstillinger\Application Data\45a1848.exe
O4 - HKCU\..\Run: [Agko] C:\Documents and Settings\Family man\Application Data\??stem\?hkntfs.exe
O4 - Global Startup: palstart.exe
O20 - AppInit_DLLs:  C:\WINDOWS\System32\nslookup.dll  C:\WINDOWS\System32\regedit.dll

-- Genstart i fejlsikret, hvis du ikke ved hvordan så kig her:
http://www.ctrlaltdel.dk/forum/forum_posts.asp?TID=23&PN=1

-- Du skal nu til at slette. Som indledning hertil skal du have slået "Udvidet filvisning" til:
Åbn en mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

-- Slet herefter følgende (hvis du kan finde dem):
Mapper:
C:\Documents and Settings\Family man\Application Data\??stem\

Filer:
C:\Documents and Settings\Family man\Lokale indstillinger\Application Data\45a1848.exe

Søg efter denne fil, og slet den, hvis du finder den:
palstart.exe

Genstart til normal tilstand, og lav en ny log med Hijackthis, som du lægger herind til check.
Avatar billede Computer Hjælp (Gratis) Mester
28. juni 2006 - 11:14 #12
(Tak <ejvindh> - Det var også det jeg havde på min liste...)
Avatar billede ejvindh Ekspert
28. juni 2006 - 11:30 #13
http://www.spywarefri.dk/forum/topic.asp?TOPIC_ID=27408

lowas: Du er naturligvis velkommen til at lægge dine logs, hvor du vil. Men når du lægger den flere steder, ville det være pænt af dig i det mindste at gøre opmærksom på det i trådene. Så hjælperne kan se, at der allerede er gjort noget (og tage højde for dette i deres råd). Og så de evt. kan afgøre med sig selv om de gider at udføre et arbejde, der allerede er gjort.
Avatar billede lowas Nybegynder
28. juni 2006 - 11:43 #14
Siger sorry for forvirringen, har lukket tråden hos www.spywarefri.dk. Det er bare mig der blev forvirret.
Nå, men jeg har gjort som du ellers har skrevet, og her er den nye log, men inden da, vil jeg gøre opmærksom på at jeg ikke kunne finde følgende:
PurityScan

C:\Documents and Settings\Family man\Application Data\??stem\

C:\Documents and Settings\Family man\Lokale indstillinger\Application Data\45a1848.exe

_____________________________________________________________________
Logfile of HijackThis v1.99.1
Scan saved at 11:41:01, on 28-06-2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmer\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\DOCUME~1\FAMILY~1\LOKALE~1\Temp\Rar$EX00.703\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.tv2.dk
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programmer\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] D:\Programmer\sas\SUPERAntiSpyware.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1151156714859
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\Programmer\Symantec\Norton Ghost 2003\GhostStartService.exe
Avatar billede ejvindh Ekspert
28. juni 2006 - 11:55 #15
Loggen er ren. Har du fået løst dit problem?

For at gøre arbejdet helt færdig:
Det kan være en god ide og rydde op i systemgendannelses filerne. Deaktiver systemgendannelse (http://www.spywarefri.dk/virusscannere.htm#alle) - genstart din computer - aktiver systemgendannelse.
Og så kan det også være en god ide at skjule dine systemfiler og -mapper igen, så du ikke ved en fejl kommer til at slette en vigtig fil. Det gør du samme sted, hvor du satte det til at vise alle filer, denne gang vælger du bare: Vis ikke skjulte filer og mapper.

Det kan også være en god ide at få renset ud i dine midlertidige filer. Det kan gøres på en hurtig og nem måde med denne fil
www.spywareinfo.dk/download/cleantempxp2k.bat
---------------------------

For at forhindre gentagelser, vil jeg anbefale dig at lægge nogle små programmer ind, som forhindrer spyware i at komme ind i første omgang. Du finder links og gode råd her:
http://www.spywarefri.dk/manualer/sikkerhedspakke.htm

Jeg vil også foreslå, at du læser denne artikel om hvordan du kan undgå at blive inficeret i fremtiden:
http://www.spywarefri.dk/forum/topic.asp?TOPIC_ID=14414

Derudover er jeg sikker på, at dr1 har et par råd omkring ServicePacks, som han brænder for at komme af med :-)

Jeg lægger et svar, men synes du skal vente med at lukke tråden til dr1 også har lagt et svar, så du kan dele pointene mellem os, som du ønsker.
Avatar billede lowas Nybegynder
28. juni 2006 - 12:03 #16
Der ser ud til at problemet er løst.
Jeg ser frem til at følge dine råd, og gøre min pc mere stabil overfor spyware, men først og fremmest vil jeg lave en ghost af min pc, som den er nu.

Vil også gerne høre hvad dr1 har at sige om Service Packs
Avatar billede Computer Hjælp (Gratis) Mester
28. juni 2006 - 12:17 #17
Tihi - "...han brænder for at komme af med ..."

Min 'tale' om ServicePack2:

Du har ikke opdateret dit Windows XP til ServicePack2 (SP2).
"Ubeskyttede pc’er holder i 20 minutter]":
http://forum.mib-eu.dk/forum_posts.asp?TID=44

Det er ikke så godt, for så er du ikke sikret mod mange af de vira, der suser rundt på nettet og kigger efter uopdaterede maskiner - som du bla. har oplevet...

Du kan hente ServicePack2 (SP2) her som 'løs' fil (~280Mb):
http://intern.sdu.dk/it-service/tjenester/ftphotel/ftpindhold/
Download/copy til et passende sted på din HD.
Afbryd fra det 'farlige' internet (stikket fysisk UD).
Instaler SP2 pakken.
Når det er så gået godt og efter en genstart eller to - først DA tilslut internettet igen og gå i start ->programmer ->Windowsupdate og lade din maskine scanne for nyeste opdateringer. Installer dem du får anbefalet. Der skal nok være 20-40 'pakker' ...

(Tja - hvis du ikke får dette gennemført ses vi nok snart igen...i virus kategorien?)
Avatar billede Computer Hjælp (Gratis) Mester
28. juni 2006 - 12:18 #18
Ping...

(Det var et [svar]..)

Deles med andre -> <ejvindh> ...
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
Vil skrifte antivirusprogram. Af ErikHg i Virus 22 26/11/202510:42 23/12/202514:29
Er gratis Bitdefender værd at installere ? Af Ikke-ekspert i Virus 8 31/08/202519:08 01/09/202514:18
Ukendte filer på min Pc Af jonpet i Virus 10 03/02/202514:20 04/02/202511:05
mulig ukendt virus Af jackie18 i Virus 3 18/01/202514:07 18/01/202516:39
virus popper op med jævne mellemrum Af Malm i Virus 13 18/01/202511:40 20/01/202517:53
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
59 min siden Logge ind hos Amazon.de Af Malm i E-handel
I dag 09:46 Messinger virker ikke på Windows 10 og Windows 11 Af eksmojo i Windows
I går 17:32 Jeg kan ikke opdatere min iPad til ios 26.4.1. Af Bettina i Apps til iOS
I går 08:32 Office pakke LTSC vs Retail? Af Don G i Office & Kontorpakker
10/0421:19 Lydindstilling Prosonic TV Af TageArent i Fjernsyn & projektorer
White papers
Flere white papers »