Avatar billede nopsen Ekspert
06. maj 2010 - 20:52 Der er 19 kommentarer og
1 løsning

Hjælp til fjernelse af virus/spyware

Hej medeksperter

Hvis jeg forsøger at bruge min gmail eller søge på google, bliver jeg enten redirected eller får at vide at ægthedsbeviset ikke kan bekræftes.

Diverse scanninger har ikke afhjulpet problemet, så håber nogen vil hjælpe mig igennem fjernelse af skidtet.
06. maj 2010 - 21:44 #1
Hvilken scanninger ?
Win98, ME, W2000, XP, Vista, Win7, OS/2, Unix, Linux, ... ?
Avatar billede nopsen Ekspert
06. maj 2010 - 21:49 #2
Ups ja det glemte jeg :)

Windows 7 Ultimate
Jeg har scannet med Microsoft essentials, superantispyware og Panda online scanner.
Avatar billede nopsen Ekspert
06. maj 2010 - 21:56 #3
Windows 7 Ultimate 32 bit
06. maj 2010 - 21:57 #4
Hent og instalér CCleaner http://www.ccleaner.com/ + http://www.spywarefri.dk/manualer/manual-for-installation-og-brug-af-ccleaner/
Under installationen får du tilbudt [Yahoo Toolbar]. Du kan sige ja eller *NEJ* til den.
http://vistaguide.dk/?Artikler/CCleaner-GuideTilOptimeringAfVista/763
Lad programmet foretage en oprydning...

--------

Hent Malwarebytes Anti-Malware herfra:
http://www.besttechie.net/tools/mbam-setup.exe

Installer programmet - når det er gjort skal du lade programmet opdatere sig. Herefter åbner et vindue, hvor du skal flytte prikken til "Kør et fuldstændigt systemscan" - klik på Skan Knappen - lad programmet arbejde. Når det er færdig (det tager lidt tid afhængig af hvor meget du har på computeren).
Derefter - Tryk på "Vis resultater" knappen efter scanningen - og herefter tryk på "Fjern det valgte" - nu åbnes log'en og du skal gemme den et sted, hvor du kan finde den igen.
Kopier indholdet herind sammen med en frisk log fra HiJackThis...

...og her er omtalte HiJackThis ->
http://www.spywareinfo.dk/index.htm#/manualer/hijackthis.htm

Bemærk at HiJackThis.exe programmet skal gemmes i en dertil oprettet mappe og IKKE køres direkte fra nettet...

PS: Brug denne version af HJT -> http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe

Mht.: Vista/Win7 - HøjreMusseTast - "Kør som Administrator..."

------------------
Avatar billede nopsen Ekspert
06. maj 2010 - 22:35 #5
Her er resultatet fra Malwarebytes:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Database version: 4072

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

06-05-2010 22:31:37
mbam-log-2010-05-06 (22-31-37).txt

Scan type: Full scan (C:\|D:\|)
Objects scanned: 175521
Time elapsed: 23 minute(s), 4 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)


Og her er resultatet fra Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:33:17, on 06-05-2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Microsoft Security Essentials\msseces.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Windows\system32\NOTEPAD.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\Dex\Downloads\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: 89.149.249.198 www.google.com
O1 - Hosts: 89.149.249.198 www.google.de
O1 - Hosts: 89.149.249.198 www.google.fr
O1 - Hosts: 89.149.249.198 www.google.co.uk
O1 - Hosts: 89.149.249.198 www.google.com.br
O1 - Hosts: 89.149.249.198 www.google.it
O1 - Hosts: 89.149.249.198 www.google.es
O1 - Hosts: 89.149.249.198 www.google.co.jp
O1 - Hosts: 89.149.249.198 www.google.com.mx
O1 - Hosts: 89.149.249.198 www.google.ca
O1 - Hosts: 89.149.249.198 www.google.com.au
O1 - Hosts: 89.149.249.198 www.google.nl
O1 - Hosts: 89.149.249.198 www.google.co.za
O1 - Hosts: 89.149.249.198 www.google.be
O1 - Hosts: 89.149.249.198 www.google.gr
O1 - Hosts: 89.149.249.198 www.google.at
O1 - Hosts: 89.149.249.198 www.google.se
O1 - Hosts: 89.149.249.198 www.google.ch
O1 - Hosts: 89.149.249.198 www.google.pt
O1 - Hosts: 89.149.249.198 www.google.dk
O1 - Hosts: 89.149.249.198 www.google.fi
O1 - Hosts: 89.149.249.198 www.google.ie
O1 - Hosts: 89.149.249.198 www.google.no
O1 - Hosts: 89.149.249.198 www.google.ru
O1 - Hosts: 89.149.249.198 www.google.ua
O1 - Hosts: 89.149.249.198 www.google.pl
O1 - Hosts: 89.149.249.198 www.google.ro
O1 - Hosts: 89.149.249.198 www.google.co.nz
O1 - Hosts: 89.149.249.198 www.google.in
O1 - Hosts: 89.149.249.198 www.google.th
O1 - Hosts: 89.149.249.198 www.google.tr
O1 - Hosts: 89.149.249.198 www.google.hu
O1 - Hosts: 89.149.249.198 www.google.cr
O1 - Hosts: 89.149.249.198 www.google.lv
O1 - Hosts: 89.149.249.198 www.google.lt
O1 - Hosts: 89.149.249.198 www.google.bg
O1 - Hosts: 89.149.249.198 www.google.be
O1 - Hosts: 89.149.249.198 www.google.vn
O1 - Hosts: 89.149.249.198 www.google.ve
O1 - Hosts: 89.149.249.198 www.google.sw
O1 - Hosts: 89.149.249.198 search.yahoo.com
O1 - Hosts: 89.149.249.198 us.search.yahoo.com
O1 - Hosts: 89.149.249.198 uk.search.yahoo.com
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [MSSE] "C:\Program Files\Microsoft Security Essentials\msseces.exe" -hide -runkey
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')
O13 - Gopher Prefix:
O15 - Trusted Zone: http://*.danid.dk
O15 - Trusted Zone: http://*.danid.dk (HKLM)
O16 - DPF: {07D09E9E-C667-45DD-B035-217BC2A61A3B} (ActiveX sikkerhedssoftware Control) - https://www.sparskals.dk/package/sdc/external/activex/ActiveXSikkerhedssoftware-prod-1.30.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: wzrd01 - C:\Windows\SYSTEM32\wzrd01.dll
O23 - Service: Tjenesten Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe

--
End of file - 5489 bytes
06. maj 2010 - 22:54 #6
http://support.microsoft.com/kb/972034 !!!

(I første omgang...)
Avatar billede nopsen Ekspert
06. maj 2010 - 23:01 #7
Så er det gjort, og det har tilsyneladende afhjulpet problemet, er der mere jeg skal gøre?
Avatar billede darkangel-dk Nybegynder
07. maj 2010 - 00:08 #8
Karise_larry.
Hvordan kom du frem til dette ?
Kan slet ikke selv se problemet :S
(ikk at jeg betvivler dig)
Vil gerne bare lære at kunne forstå den slags ting selv.
07. maj 2010 - 06:30 #9
*S*

Jeg kan ikke lige finde noget om denne:
C:\Windows\SYSTEM32\wzrd01.dll ?

Find og opload denne fil:

C:\Windows\SYSTEM32\wzrd01.dll

Til scanneren Jotti, så der kan komme navn på infektionen:
http://virusscan.jotti.org/
og/eller
http://www.virustotal.com/en/indexf.html

http://www.ctrlaltdel.dk/forum/forum_posts.asp?TID=143&PN=1&TPN=1

Vend tilbage, og fortæl hvad scanneren sagde.
Avatar billede nopsen Ekspert
07. maj 2010 - 06:58 #10
Her er hvad de fandt:

Trojan-Spy.Goldun.NDC!IK
Ransom.G
TR/Spy.Gen
Trojan-Spy.Goldun.NDC
Win32/TrojanProxy.Agent.NGG
Sus/TinyDL-G
Malware.Agent.40 (paranoid heuristics)
07. maj 2010 - 07:18 #11
Kør en scanning med Hijackthis, (HøjreMusseTast - "Kør som Administrator...")
Du får herunder nogle filer, som du skal fixe. Det, du skal gøre, er at sætte et flueben ud for disse filer. Når du har gjort det, så lukker du alle andre vinduer ned. Det er meget vigtigt at det eneste vindue, som er åbent er HijackThis vinduet. Husk også at lukke dette vindue, når du har markeret filerne. Nu må du fixe. Klik på Fix checked.

Det er denne, som skal fixes:

O20 - Winlogon Notify: wzrd01 - C:\Windows\SYSTEM32\wzrd01.dll

Genstart normalt...

---

Hvordan kører PC'en så nu ?

---

PS: Du mangler vist noget -> http://kundeservice.tdc.dk/testcenter/
Avatar billede nopsen Ekspert
07. maj 2010 - 07:29 #12
Så er den fixet, det hele kører perfekt nu!

Du skal ha mange tak for hjælpen, smid et svar :)
07. maj 2010 - 07:32 #13
Ping...
(Det var et [svar]...)

Ta' også en efterfølgende CCleaner oprydning... og nævnte http://kundeservice.tdc.dk/testcenter/
Avatar billede nopsen Ekspert
07. maj 2010 - 07:33 #14
Det vil jeg gøre :)
Avatar billede nopsen Ekspert
07. maj 2010 - 23:41 #15
Hej igen, lige et tillægs spørgsmål:

Jeg har installeret den nyeste java og flash via http://kundeservice.tdc.dk/testcenter/ og installationerne forløb perfekt, men når jeg efterfølgende tjekker op på tdc siden, siger den at jeg stadig mangler at opdatere begge ting, ved du hvorfor?
Avatar billede nopsen Ekspert
07. maj 2010 - 23:45 #16
Ifølge firefox, kører jeg nu med de nyeste versioner af begge ting, men tdc registrerer det ikke.
08. maj 2010 - 19:28 #17
Takker for Point...

Ref #15 - er de instaleret via EI ?
Avatar billede nopsen Ekspert
08. maj 2010 - 21:56 #18
De er installeret under firefox, da jeg kun bruger explorer til min netbank.
Det skal dog siges at jeg ikke oplever nogen problemer med det, undrede mig bare at det ikke blev registreret, men det er måske fordi tdc's test kun understøttes af explore?
08. maj 2010 - 22:22 #19
Måske/sansynligvis ?

PS: IE bør/skal være opdateret selvom du kun bruger alternative browser !!!
Avatar billede nopsen Ekspert
08. maj 2010 - 22:30 #20
Ja jeg har nu prøvet med IE med samme resultat, der er stadig link til at opgradere til seneste version java og flash, og når jeg forsøger at inst java, siger den at jeg har den nyeste version, flash installerede en ny version under IE, men efterfølende får jeg stadig at vide at begge ting skal opgraderes under IE, så det må vist være tdc der fejler her åbenbart.

Tak for hjælpen :)
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester





Premium
Sikkerhedsekspert: Derfor har Colonial været nødt til at betale hackere ransomware på 30 millioner kroner - vil sagtens kunne ske i Danmark
Interview: Hvorfor har mægtige Colonial Pipeline valgt at betale ransomware til hackere trods anbefalinger fra myndigheder og sikkerhedsmiljøet? "Det er ikke helt sort og hvidt," siger sikkerheds-ekspert Leif Jensen fra Eset.
Computerworld
Nye informationer om det største iPhone-hack nogensinde ser dagens lys: 128 millioner brugere blev ramt
Hidtil hemmeligholdte detaljer om verdens største iPhone-hack er kommet frem under retssagen mellem Apple og Epic Games. 128 millioner brugere blev ramt, og mere end 4.000 apps blev inficeret. Se detaljerne her.
CIO
Har du rost din mellemleder i dag? Snart er de uddøde - og det er et tab
Computerworld mener: Mellemledere lever livet farligt: Topledelsen får konstant ideer med skiftende hold i virkeligheden, og moden går mod flade agile organisationer. Men mellemlederen er en overset hverdagens helt med et kæmpe ansvar. Her er min hyldest til den ofte latterliggjorte mellemleder.
Job & Karriere
Eva Berneke stopper som topchef i KMD og flytter til Paris: Her er KMD's nye topchef
Efter syv år på posten som topchef for KMD forlader Eva Berneke selskabet. Nu flytter hun med familien til Paris, hvor hun vil fortsætte sit bestyrelsesarbejde. KMD har allerede afløser på plads.
White paper
Overvåg kritiske industrielle systemer og beskyt dem mod angreb
Industrial Control Systems (ICS) udgør hjertet i alle forsynings- og produktionsvirksomheder og kan være overraskende sårbare overfor cyberangreb. Dette whitepaper giver et godt overblik over problematikker og muligheder for at sikre jeres systemer.