/ Forside/ Teknologi / Internet / Sikkerhed / Spørgsmål
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
SPYWARE INFECTION ?????
Fra : Toves_Henrik
Vist : 1502 gange
300 point
Dato : 03-01-06 22:38

Hej jeg er ved at blive vanvittig når jeg tænder min maskine får jeg en stor sort firkant med røde bogstaver som skriver SPYWARE INFECTION og så har den indsat en toolbar som... hvis jeg trykker på "remove toolbar" det røde kryds får jeg to ting en Http adresse (http://search-org.net/search.php?q=spyvare) og et nyt skilt I EXPLORE.EXE har fundet en fejl og afsluttes nu. og selv om man ignorerer og krydser det hele væk får jeg el gul "talebobbel" nede i højre hjørne (Som springer ud fre en lille rød advarselsklat med et hvidt kryds) med et halvt minuts mellemrum hvor der står:
Your computer is infectet
Windows has detektet spyvareinfection
It is recommandet to use special antispyvare tools to prevent
data loss. Windows will now download and install the most
up-to-darte antispywarefor you.
Click here to protectyour computer from spyvare !

Hvad sker der er det optrækkeri eller er det pengeafpresning og eller hvordan kommer jeg af med dette onde....
hilsen en fortabt Henrik



 
 
Kommentar
Fra : Jesper_wood


Dato : 03-01-06 22:41

Hvad har du af Virus Scanner / Spyware scanner ?????

Kommentar
Fra : Sunowich


Dato : 03-01-06 22:44

Gå ind på www.spywarefri og lav en onlinescanning
Mvh Sune

Kommentar
Fra : tedd


Dato : 03-01-06 22:45
Kommentar
Fra : iah


Dato : 03-01-06 22:45

En mulighed er at prøve dette freewareprogram: http://www.share2.com/spywaredoctor/download.htm

Free Spyware Scan, Adware Scan
--------------------------------------------------------------------------------
Spyware Doctor download and review by share2.com! Free Spyware Scan, Adware Scan Available!!!

Kommentar
Fra : Sunowich


Dato : 03-01-06 22:46

Ellers kan man i nogle tilfælde gå ind i kør og skrive msconfig trykke enter og så trykke på fanebladet start i det vindue der kommer frem og der kan man fjerne flueben i det der starter op med maskinen
mvh sune

Kommentar
Fra : Sunowich


Dato : 03-01-06 22:47
Kommentar
Fra : Tordenkalven


Dato : 03-01-06 22:48
Kommentar
Fra : stl_s


Dato : 03-01-06 22:48

Du er blevet "hijacked" af spyware. Hent HijackThis herhttp://www.spywarefri.dk/downloads1/hijackthis.exe Dobbeltklik filen, klik "do a system scan, and save a logfile" , og kopier loggen her ind, så ser jeg på den og giver dig en vejledning til at slippe af med det.

Kommentar
Fra : Toves_Henrik


Dato : 04-01-06 00:02

Hej stl_s
hvordan gør jeg ??
jeg arbejder på to maskiner jeg har skannet den inficerede og har nu en logfil på min USB pind, men hvordan får jeg den fil sat herind på kandu
Henrik

Kommentar
Fra : Tordenkalven


Dato : 04-01-06 00:15

Kender min...

Du skal trykke på det jeg sendte dig....

downloade det der kommer frem, og så installere det...

når du har gjort det kommer der frem et sted der vist er rødt, om du vil køre en scanning....

Når du gør det, er jeg sikker på den finder det "onde" og smider væk når den er færdig, men læs det der kommer efterhånden , så tror jeg på det går

Hilsen

Henrik *S*

Kommentar
Fra : stl_s


Dato : 04-01-06 01:05

Toves_Henrik

Højreklik på loggen, og klik "marker alt". Også i højreklikket "kopier". Så går du her ind i tråden, højreklikker igen, og klikker "sæt ind".

Kommentar
Fra : Toves_Henrik


Dato : 04-01-06 01:14

Logfile of HijackThis v1.99.1
Scan saved at 23:43:07, on 03-01-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmer\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmer\Sophos SWEEP for NT\SWNETSUP.EXE
C:\Programmer\Sophos SWEEP for NT\SWEEPSRV.SYS
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Roxio\Easy Media Creator 7\Drag to Disc\DrgToDsc.exe
C:\Programmer\Analog Devices\SoundMAX\SMTray.exe
C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmer\Intel\PROSetWired\NCS\PROSet\PRONoMgr.exe
C:\Programmer\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programmer\QuickTime\qttask.exe
C:\WINDOWS\system32\popcorn72.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\MouseWare\system\em_exec.exe
C:\Programmer\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\winstall.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Programmer\Sophos SWEEP for NT\ICMON.EXE
C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\Programmer\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Henrik Hagerup\Skrivebord\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\system32\msblank.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
R3 - URLSearchHook: (no name) - {8465839E-127D-516A-B4AD-C73F46FCD28F} - install2.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\encyp.dll
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\encyp.dll
O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Programmer\Roxio\Easy Media Creator 7\Drag to Disc\DrgToDsc.exe"
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [DevconDefaultDB] C:\WINDOWS\READREG /PSCONV={NO}
O4 - HKLM\..\Run: [Smapp] C:\Programmer\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [PRONoMgrWired] C:\Programmer\Intel\PROSetWired\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programmer\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\system32\popcorn72.exe rundll.dll,LoadMouseProfile
O4 - HKLM\..\Run: [iehelper] RtlFindVal.exe
O4 - HKLM\..\Run: [gabber] driver64.exe
O4 - HKLM\..\Run: [yaemu.exe] C:\WINDOWS\system32\yaemu.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SetDefaultMIDI] MIDIDef.exe
O4 - HKCU\..\Run: [desktop] C:\WINDOWS\system32\idemlog.exe
O4 - HKCU\..\Run: [UnSpyPC] "C:\Programmer\UnSpyPC\UnSpyPC.exe"
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [bnui] StatusCheck.exe
O4 - HKCU\..\Run: [NukeSpan] DCC_send.exe
O4 - HKCU\..\Run: [dePloy] install2.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: InterCheck Monitor.LNK = C:\Programmer\Sophos SWEEP for NT\ICMON.EXE
O4 - Global Startup: officejet 6100.lnk = ?
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~2\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{0E80F7D1-25EC-4DE8-83CA-10F9A948C283}: NameServer = 85.255.116.77,85.255.112.207
O17 - HKLM\System\CCS\Services\Tcpip\..\{F7ABA25E-3835-4DD3-BE03-9917A3BCD65C}: NameServer = 85.255.116.77,85.255.112.207
O17 - HKLM\System\CS1\Services\Tcpip\..\{0E80F7D1-25EC-4DE8-83CA-10F9A948C283}: NameServer = 85.255.116.77,85.255.112.207
O17 - HKLM\System\CS2\Services\Tcpip\..\{0E80F7D1-25EC-4DE8-83CA-10F9A948C283}: NameServer = 85.255.116.77,85.255.112.207
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programmer\Intel\PROSetWired\NCS\Sync\NetSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmer\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Sophos Anti-Virus Network (SweepNet) - Sophos Plc - C:\Programmer\Sophos SWEEP for NT\SWNETSUP.EXE
O23 - Service: Sophos Anti-Virus (SWEEPSRV.SYS) - Sophos Plc - C:\Programmer\Sophos SWEEP for NT\SWEEPSRV.SYS

Jo så er det gjort jeg skal bare hjulpes....... tak

Kommentar
Fra : stl_s


Dato : 04-01-06 02:24

Det bliver en større omgang, men lad os komme igang. I første omgang skal du hente, og køre, nogle specielle renseprogrammer. Det kan se lidt forvirrende ud, men hvis du følger vejledningerne slavisk, og går det igennem stille og roligt, så skal det nok gå.



Hent denne virusscanner http://www.claymania.com/KASFX.EXE

Udpak den, tast <enter>, og lad den opdatere. Sæt et ekstra flueben i DRIVE, og klik så "Scan/Clean".

Scanningen kan godt vare længe, afhængig af hvor mange filer den skal scanne.

Når scanningen er færdig, klik OK, EXIT, og EXIT.





Under dette fix vil computeren blive genstartet, og du bør derfor printe vejledningen ud, for at have den ved din side under hele fixet. Fixet skal bruge adgang til internettet, så det skal du sikre dig, at der er.

1. Hent FixWareout fra et af disse links:

http://downloads.subratam.org/Fixwareout.exe
http://swandog46.geekstogo.com/Fixwareout.exe

2. Gem filen på dit Skrivebord og dobbeltklik på den. Klik Next -> Install og check, at der er et flueben i "Run fixit" - klik herefter på Finish. Fixet vil nu starte, og du skal blot følge instruktionerne. Du vil blive bedt om at genstarte din computer - gør venligst det. Genstarten vil tage lidt længere tid end normalt...

3. Når dit system genstarter skal du fortsat følge den vejledning, der gives på skærmen. Når fixet er færdigt vil HijackThis starte automatisk - klik på Scan, og sæt et flueben ud for følgende linier - luk øvrige programvinduer - klik "Fix checked":


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\system32\msblank.html
R3 - URLSearchHook: (no name) - {8465839E-127D-516A-B4AD-C73F46FCD28F} - install2.dll (file missing)
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\encyp.dll
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\encyp.dll
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\system32\popcorn72.exe rundll.dll,LoadMouseProfile
O4 - HKLM\..\Run: [iehelper] RtlFindVal.exe
O4 - HKLM\..\Run: [gabber] driver64.exe
O4 - HKLM\..\Run: [yaemu.exe] C:\WINDOWS\system32\yaemu.exe
O4 - HKCU\..\Run: [desktop] C:\WINDOWS\system32\idemlog.exe
O4 - HKCU\..\Run: [UnSpyPC] "C:\Programmer\UnSpyPC\UnSpyPC.exe"
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [bnui] StatusCheck.exe
O4 - HKCU\..\Run: [NukeSpan] DCC_send.exe
O4 - HKCU\..\Run: [dePloy] install2.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{0E80F7D1-25EC-4DE8-83CA-10F9A948C283}: NameServer = 85.255.116.77,85.255.112.207
O17 - HKLM\System\CCS\Services\Tcpip\..\{F7ABA25E-3835-4DD3-BE03-9917A3BCD65C}: NameServer = 85.255.116.77,85.255.112.207
O17 - HKLM\System\CS1\Services\Tcpip\..\{0E80F7D1-25EC-4DE8-83CA-10F9A948C283}: NameServer = 85.255.116.77,85.255.112.207
O17 - HKLM\System\CS2\Services\Tcpip\..\{0E80F7D1-25EC-4DE8-83CA-10F9A948C283}: NameServer = 85.255.116.77,85.255.112.207


4. Luk HijackThis og klik på OK for at fortsætte.



5. Genstart i fejlsikret, hvis du ikke ved hvordan så kig her:

http://fromsej.dk/html/xpfejl.html



Så skal disse filer og mapper slettes ( Markeret imellem og). Nogle af dem er sikkert allerede væk.

* install2.exe << Denne fil

* DCC_send.exe << Denne fil

* StatusCheck.exe << Denne fil

* driver64.exe << Denne fil

* RtlFindVal.exe << Denne fil

* install2.dll << Denne fil

C:\winstall.exe << Denne fil

C:\WINDOWS\system32\idemlog.exe << Denne fil

C:\WINDOWS\system32\yaemu.exe << Denne fil

C:\WINDOWS\system32\popcorn72.exe << Denne fil

C:\WINDOWS\system32\encyp.dll << Denne fil

C:\WINDOWS\system32\encyp.dll << Denne fil

C:\WINDOWS\system32\msblank.htm << Denne fil



C:\Programmer\UnSpyPC << Denne mappe



* Find disse via Start > Søg



Genstart din computer, og kopier indholdet af C:\fixwareout\report.txt herind sammen med en frisk HijackThis log.


Vi er ikke færdige endnu, men det værste er overstået.

Kommentar
Fra : arlet


Dato : 04-01-06 08:12

Tordenkalven -> Tror din besøgstid er overstået her..

Din microsoft AntiSpyware har ikke en chance mod en computer der er så inficeret..

Eneste rigtige er stl_s vejledning..

Kommentar
Fra : D9N


Dato : 04-01-06 14:13

det jeg har oplevet med den der trojaner/spyware er at den kan fjernes med spysweeper og skrivebordet genoprettes derefter med http://www.share2.com/spywaredoctor/download.htm
spysweeper kan du købe hos www.spywarefri.dk

men den der er en grim en, og problemet er ik så meget at fjerne den, men når den er væk kan man ikke ændre sit skrivebords billede... hehe

D9N

Kommentar
Fra : Tordenkalven


Dato : 04-01-06 14:48

Svar til Arlet:

Såvidt jeg er orienteret så er dette forum for amatører.

såvidt jeg ved hjælpes man efter erfaringer.

såvidt jeg ved, og for det meste ser det, burde og er tonen derfor ordentlig.

At du kommer med et udfald mod mig på disse sider må tilskrives umodenhed og mennesklig afstumpethed.

Henvend dig hos mig via min profil hvis endelig du vil mig noget i stedet for at bruge denne side til at få afløb for dine

indestængte agressioner over at amatører taler sammen, oven i købet ordentligt.

Det var dt hele....yderligere kommetarer fra dig vil ikke blive kommenteret fra mig på denne tråd.

Kommentar
Fra : D9N


Dato : 04-01-06 15:14

Tordenkalven du har helt ret , man skal tale pænt til hinanden.
men arlet har lidt ret, for Microsoft spywarescanner er ikke anvendelig over for den type trojaner/spyware ...
så derfor nytter det ikke at du skriver ""Kender min...

Du skal trykke på det jeg sendte dig....

downloade det der kommer frem, og så installere det...
"

for den duer ikke til det ...

vh
D9N

Kommentar
Fra : Toves_Henrik


Dato : 04-01-06 17:20

Tak for hjælp alle sammen
Jeg er ked af hvis jeg er årsag til splid.
Jeg er desværre blevet ramt af arbejde men arejder videre på stl_s vejledning og vender tilbage om et par dage når jeg igen kan få ro

Kommentar
Fra : D9N


Dato : 04-01-06 17:27

Toves_Henrik tror nu ik du er årsag til splid, men der er nok nogen der stadig har lidt at lære *G*

man skal jo opføre sig pænt mod andre , og ikke være konservativ i sin mening om sin egen viden´, da alle ka lave fejl *S*


D9N

Accepteret svar
Fra : stl_s

Modtaget 300 point
Dato : 04-01-06 17:28

Ok. Tag dig bare tid til det. Jeg skal nok holde øje med, når du vender tilbage.

Kommentar
Fra : stl_s


Dato : 04-01-06 17:28

Ok. Tag dig bare tid til det. Jeg skal nok holde øje med, når du vender tilbage.

Kommentar
Fra : stl_s


Dato : 04-01-06 17:32

Ok. Tag dig bare tid til det. Jeg skal nok holde øje med, når du vender tilbage.

Kommentar
Fra : brygmesteren


Dato : 25-01-06 20:29

Hej stl_s

Jeg er står i samme problem som Toves_Henrik.
Jeg far fuldt din guide, men mangler nu slutningen.
Håber du kan hjælpe.

Kommentar
Fra : stl_s


Dato : 25-01-06 21:02

Hej brygmesteren.

Det er nok bedre, hvis du opretter dit eget spørgsmål, med en HijackThis log, så vi ikke får blandet tingene sammen.

Kommentar
Fra : brygmesteren


Dato : 25-01-06 21:24

Jo jeg har oprette en ny tråd

http://www.kandu.dk/QuestionHist.aspx?qid=81920

håber du gidder hjælpe.

kan ikke give så mange point for den.

på forhånd tak

Godkendelse af svar
Fra : Toves_Henrik


Dato : 07-06-06 10:02

Tak for svaret stl_s.

Du har følgende muligheder
Eftersom du ikke er logget ind i systemet, kan du ikke skrive et indlæg til dette spørgsmål.

Hvis du ikke allerede er registreret, kan du gratis blive medlem, ved at trykke på "Bliv medlem" ude i menuen.
Søg
Reklame
Statistik
Spørgsmål : 177580
Tips : 31968
Nyheder : 719565
Indlæg : 6409081
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste