Det bliver noget af en omgang.
Du har fået en trojaner indenbords + lidt andet guf....
Først skal du lige hente de to programmer her:
LSPFix:
http://danborg.org/spy/Newnet/LSPfix.exeWinsockfix:
http://danborg.org/spy/Newnet/winsockxpfix.exeLæg dem på dit skrivebord, i en mappe, så du kan finde dem frem, hvis der bliver brug for det. Her kan de ligge og vente på, at du evt. får brug for det.
---------------------
Hent Ewido herfra (14 dages version af plus-versionen - herefter bliver den "neddroslet" til gratis-versionen):
http://www.spywarefri.dk/downloads1/ewido-setup.exeInstaller og kør Ewido
Opdater straks efter installationen programmet. Lad være med at slette noget med Ewido fra normal tilstand. Vent til du kommer i fejlsikret tilstand. Du kan evt. højreklikke på ikonet E nede ved uret, og klikke på shutdown guard, så er du sikker på, at programmet venter med at fjerne snavs, til du er i fejlsikret tilstand.
Det vil være smart at tømme mappen for cookies før du kører Ewido, for ellers får du en lang log fra den scanner, med alle de cookies det fjerner.
Rens browser cachen
1. Klik på Funktioner - Internetindstillinger
2. Under midlertidige filer, klik på Slet cookies
3. Under midlertidige filer, klik på slet filer – sæt flueben i slet alt offline indhold
4. Under Oversigten, klik på ryd oversigten
5. Klik på ok.
Tøm din papirkurv.
Du kan rense temp med denne fil, det tager kun få sek.
www.spywareinfo.dk/download/cleantempxp2k.bat-------------------------------------------------------------------------------------
Hent og gem denne scanner, du skal bruge den senere.
http://www.spywareinfo.dk/download/mwav.exe - Kaspersky Virusscanner.
-----------------------------------------------------------------------------------
Download cureit til skrivebordet
ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe Kig denne vejledning grundigt igennem.
http://fromsej.dk/Vejledninger/html/drweb.html--------------------------------------------------------------------------------------------------------
Genstart herefter i Fejlsikret tilstand – F8 i opstart.
-------------------------------------------------------------
Kør en fuld scanning med Ewido. Programmet opretter en lille log, som du skal kopiere herind i dit næste svar. Du kan se hvordan du skal oprette og gemme rapporten her:
http://www.spywarefri.dk/manualer/ewido-manual.htm hvis du er i tvivl. Se punkt: 16 og 17
---------------
Kør en scanning med Hijackthis, så du kan se alle filer.
Du får herunder nogle filer, som du skal fixe. Det, du skal gøre, er at sætte et flueben ud for disse filer. Når du har gjort det, så lukker du alle andre vinduer ned. Det er meget vigtigt at det eneste vindue, som er åbent er HijackThis vinduet. Husk også at lukke dette vindue, når du har markeret filerne. Nu må du fixe. Klik på Fix checked.
Det er disse, som skal fixes:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - URLSearchHook: (no name) - {39B4F84D-A7EF-4D89-DEF5-044C630AA4D5} - C:\WINDOWS\upxujqjy.dll
O2 - BHO: (no name) - {273BCC38-5A23-F6AC-D02B-15A7499587EA} - C:\DOCUME~1\Bruger\APPLIC~1\EXTRAS~1\PlusNew.exe (file missing)
O2 - BHO: (no name) - {7CF8399E-C7FD-F2F4-8612-0E418D401F26} - C:\DOCUME~1\Bruger\APPLIC~1\EXTRAS~1\PlusNew.exe (file missing)
O2 - BHO: (no name) - {B44722EC-36BC-86AD-FEE8-C5070AD86B36} - C:\WINDOWS\upxujqjy.dll
O4 - HKLM\..\Run: [clock bore coal bait] C:\Documents and Settings\All Users\Application Data\Blue obj clock bore\BirdRdr.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [math tick] C:\DOCUME~1\Bruger\APPLIC~1\CORNST~1\BLAH AXIS.exe
O4 - HKCU\..\Run: [PECarlin] "C:\Programmer\PECarlin\PECarlin.exe"
O4 - HKCU\..\Run: [PSLister] "C:\Programmer\PSLister\PSLister.exe"
O4 - HKCU\..\Run: [CMFibula] "C:\Programmer\CMFibula\CMFibula.exe"
O4 - Global Startup: Uninstall KaZaA Media Desktop.lnk.disabled
O10 - Unknown file in Winsock LSP: c:\windows\system32\rlls.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\rlls.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\rlls.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\rlls.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\rlls.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\rlls.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
-------------------------------------------------------------------
For at kunne se alle filer og mapper, så følg denne vejledning:
Åbn en mappe, klik på Funktioner >Mappeindstillinger >Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".
Brug af Start->Søg.
Klik på "Skift søgefunktioner for filer og mapper"
Sæt prik i "Avanceret" og klik OK.
Klik på "Alle filer og mapper"
Klik på "Flere avancerede indstillinger"
Sæt flueben i de tre øverste.
----------------------------------------------
Søg og slet de filer/mapper jeg noteret sidst i linien – måske kan du ikke finde dem alle.
c:\windows\system32\rlls.dll
C:\Programmer\CMFibula
C:\Programmer\PSLister
C:\Programmer\PECarlin
C:\DOCUME~1\Bruger\APPLIC~1\CORNST~1
C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe
C:\WINDOWS\upxujqjy.dll
C:\DOCUME~1\Bruger\APPLIC~1\EXTRAS~1
C:\Documents and Settings\All Users\Application Data\Blue obj clock bore
------------------------------------------------
Dobbeltklik på drweb-cureit.exe, den vil køre en expresscan, det siger du ja til.
Når den skriver Done nederst til venstre, skal du klikke på Options->Change settings.
Skift til fanebladet Scan, fjern fluebenet ved Heuristic analysis.
Skift til fanebladet Actions, her skal alle punkter under Malware sættes til Rename.
Klik så på det eller de drev du vil have scannet, der kommer en rød prik for at vise det/de er valgt.
Klik så på den grønne pil ovre til højre på siden, så starter scanningen.
Første gang Dr.Web finder noget, klik "Yes to All", så fjerner den hvad den finder.
Når scanningen er færdig, gå op i file – Tryk på- Save Report list.
Så ligger der en en fil der her hedder "drweb.csv" på skrivebordet.
Luk Programmet.
Genstart normalt, dobbeltklik på drweb.csv og kopier teksten fra den herind.
----------------------------------------------------------------------------------------------------------
Så kører du engangsskanneren fra Kaspersky – Stadig fra fejlsikret tilstand. Klik på den fil du har hentet: mwav.exe Klik på unzip og det pakker sig ud i en mappe som det selv opretter på C:\Kasperskky – klik på OK.
Sæt flueben i følgende:
Memory, Startup folders, drive, Registry, System folders og Services.
Sæt prik i følgende:
All local drives og Scan all files
Klik på scan.
Tip]: du skal ikke klikke på Add to Startup folders så scannes din maskine hver gang du starter Windows op.
Denne scanning kan godt tage et par timer alt efter hvor meget du har liggende på din computer.
------------
Tøm din papirkurv.
Genstart normalt, tjek om der er internetforbindelse, ellers gør følgende:
Kør først LSPfix, marker rlls.dll i venstre vindue, klik på pilen i midten, så rlls.dll også står i højre vindue, sæt flueben i I know what I am doing, klik på finish, genstart så burde det virke.
Gør det ikke det, så prøv det andet program, klik først på Reg-backup, og gem en kopi af din regdatabase, når det er slut klik på Fix, når den er færdig genstart og så skulle du gerne kunne komme på nettet igen.
Genstart din computer, kør en ny scanning med HijackThis, kopier en ny log herind til tjek.
Ny bruger
Nybegynder
Opret
Preview
