---

Jeg har opdaget at jeg har et program liggende som hedder "surfsidekick 2".

Programmet kigger på hvad der surfes og kommer så engang imellem med en hjemmeside med tilbud på ud fra det jeg har søgt. Heldigvis som regel kun biler og CD'er. Den kunne komme med meget værre tilbud

Jeg har forsøgt at slette den med sidste nye version af Ad-aware og Spysweep. De finder den og "fjerner" den men den er tilbage igen med det samme.
Norton antivirus finder ikke programmet ( da det jo reelt set ikke er en virus)

Filerne c:/programmer/ssk/*.* kan ikke slettes

Med "startup kontro panel" kan jeg finde programmet og slette det, men det er der igen efter få sekunder.

Jeg har slettet programmet under tilføj/fjern programmer og her forsvand den da også fra, men den kører stadigvæk i baggrunden (om det er for at snyde folk til at tro at de har slettet programmet, vides ikke) ?

KANDU slette dette program ??

---

Prøv hijackthis - programmet kan du finde på www.spywarefri.dk

søgte lige for "sjov" på navnet på www.google.dk og der kom da flere muligheder frem - men lyder som det er en lidt grim fætter du har fået tilraget dig ;-(

---

Prøv og gennemgå denne artikel:

Hvordan man fjerner Spyware fra en computer?
http://www.pcfreek.dk/visartikel.asp?id=14

Husk og køre alle tingende igennem.

---

Jeg har prøvet med Hijack. Den finder også programmet 3 steder efter end proces, lover den at det er slettet, men scanner man igen er den tilbage.

Den ligger og gemmer sig et eller andet hemmeligt sted.

Så følgende programmer melder pass:
Hijack
Ad-aware
Spysweep
Norton antivirus

---

Har du prøvet i fejlsikker tilstand og med systemgendannelse slået fra?

---

prøv på www.eksperten.dk - der er måske en der ved lidt mere om hvordan du får hjælp. Du skal nok indsætte din hijack fil i spørgsmålet.

---

Der er intet hjælp at hente på eksperten.dk

Fejlsikret tilstand er prøvet for længst

---

Jeg har søgt eksperten igennem. Men jeg tvivler på at "eksperten" kan svare Kandu ikke kan.
Det er sikkert mange af de sammen mennesker som sidder i begge forums.

Hvis man søger google, og finder forskellige tyske og US forums som eksperten, får man heller ikke et endeligt svar.
Kun nogle forslag, men ingen der hjælper.

Jeg tror Surfsidekick er ny, derfor er der mangel på erfaring med den.

---

Ok! Du må kende beliggendenheden af surfsidekick filerne, dem må du kunne fjerne i fejlsikker!
Endvidere kan du kan du åbne note pad og skrive
del c:\ *.tmp
del %temp%\*.tmp /f
del %windir%\prefetch\*.*
del %windir%\temp\*.* /f
del C:\documents and settings\*\local settings\temp\*.* /f
Gem som clean.bat
Den kan du osse køre i fejlsikker
Så prøv de værktøjer du har hentet hjem og se om surfsidekick er væk nu!

---

Her skal selve programmet ligge: C:\Program Files\SurfSideKick 2
og som Tedd har skrevet skal restore være deaktiveret og der skal anvendes den nyeste hijackthis
http://danborg.org/spy/HJT/hijackthis.exe

---

Selv i fejlsikret, har den loaded sig selv op i memory, så filerne ikke kan slettes. De er fuldstændig låst.
Jeg kører win2000pro, så det er ikke engang muligt at boote op på en DOS diskette og slette den igennem en DOS promt (NTFS filerne kan ikke læses i DOS)

Jeg har forsøgt at køre en batch fil. Men sidekicksurf ligger sig "før" den så filerne er låst.
Prøver jeg at slette dem igennem CMD/DOS får jeg af vide at filerne er utilgængeligt.

Det ser ud til at dem der har lavet det lille smarte software har tænkt på det hele.

---

Hvad med lige at smide en hijackthis log fil ind?
Har du configureret adaware til at scanne alt?

---

prøv lige at hente en MSCONFIG til windows 2000 her: http://www2.whidbey.com/djdenham/Msconfig.htm
bare kør filen og åbn fanebladet startup. Deaktiver alt hvad der kunne have noget med programmet at gøre og genstart og prøv så at skanne forfra.

---

Istedet for Msconfig bruger jeg "starup control panel" fra man har slettet dem til de er der igen går der 1 sek.

---

Men som ønsket får i en logfil.

Logfile of HijackThis v1.98.2
Scan saved at 14:25:12, on 27-10-2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\ibmpmsvc.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\System32\S24EvMon.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programmer\Cisco Systems\VPN Client\cvpnd.exe
C:\Programmer\NavNT\defwatch.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmer\NetOp Remote Control\HOST\NHOSTSVC.EXE
C:\Programmer\NavNT\rtvscan.exe
C:\Programmer\Kodak\Kodak EasyShare software\bin\ptssvc.exe
C:\WINNT\System32\RegSrvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\ScsiAccess.EXE
C:\WINNT\system32\TpKmpSVC.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Programmer\NavNT\vptray.exe
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\Programmer\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
C:\Programmer\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe
C:\Programmer\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\WINNT\system32\ctfmon.exe
C:\Documents and Settings\rt\Skrivebord\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks

--> R3 - URLSearchHook: (no name) - {CA0E28FA-1AFD-4C21-A8DC-70EB5BE2F076} - C:\Programmer\SurfSideKick 2\SskBho.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmer\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [vptray] C:\Programmer\NavNT\vptray.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Netværksdrev] C:\bat\drev.bat
O4 - HKLM\..\Run: [RT Desktop clean] C:\bat\ryd.bat

--> O4 - HKLM\..\Run: [SurfSideKick 2] C:\Programmer\SurfSideKick 2\Ssk.exe
--> O4 - HKCU\..\Run: [SurfSideKick 2] C:\Programmer\SurfSideKick 2\Ssk.exe

O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmer\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: VPN Dialer (OnStartup).lnk = C:\Programmer\Cisco Systems\VPN Client\ipsecdialer.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\PLUGINS\NPDocBox.dll
O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://netplayer.swdc.dk/Rawflow.cab
O16 - DPF: {74FFE28D-2378-11D5-990C-006094235084} (IBM Access Support) - http://www-307.ibm.com/pc/support/IbmEgath.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.1_06) -
O16 - DPF: {8EC18CE2-D7B4-11D2-88C8-006008A717FD} (NCSView Class) - http://130.228.229.70/ecwplugins/ncs.cab
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) -
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab

---

Det er også forsøgt med ctrl+alt+del og finde process, så den kan lukkes ned og filerne slettes.

---

Du har grebet det fornuftigt an selv om det ikke lykkedes

Jeg formoder, at du har fixet R3 og disse:
--> O4 - HKLM\..\Run: [SurfSideKick 2] C:\Programmer\SurfSideKick 2\Ssk.exe
--> O4 - HKCU\..\Run: [SurfSideKick 2] C:\Programmer\SurfSideKick 2\Ssk.exe

---

Ja, men lige så snart jeg har fixet dem og kører en scan er de tilbage igen.
Programmet, låser basalt for at det kan slettes, samtidig med at det ligger et andet sted, og kopierer sig selv tilbage.

---

Jeg er ikke hijackthis ekspert, men ville selv bruge jv16
http://www.321download.com/LastFreeware/ hvor man kan gå ind og fjerne registreringsnøgler på uønskede programmer, som jo i den sidste ende er det en hijackthis fix laver.
Hvad med den her: C:\Program Files\SurfSideKick 2 har du kigget lidt på den?

---

Alternativt er at formatere lortet, eller vente indtil der kommer en remover til programmet.

---

At formatere er at lade bæsterne vinde, men en søgning fortæller jo, at problemet er kendt men der er ikke mange hits og nogen løsning ligger der ikke i dem. Hvad med at lade Spywarefri kigge på den?

---

et eller andet sted er det kanon sejt at der er nogle som laver sådan noget software.
Jeg synes ellers at jeg passer på hvilke sider jeg surfer og hvad jeg henter, men vi kan jo alle blive overrumplet.

Virusser og spyware er pissetræls, men et eller andet sted kan jeg godt forstå de folk som laver den slags software

---

Hvad står der under URLSearchHook i din regdatabase?

---

Jeg har svært ved, at se det smarte i de programmer der bare skal være en avanceret reklame.

Tedd, har du ikke nogen gode idéer?

---

Jeg fandt lige noget hvor een skriver at fejlsikker tilstand starter en sløjfe så programmet gendanner sig selv og en anden mener, at det har noget med webrebates, at gøre.

---

Jeg tror løsningen ligger i denne:
http://www.informationsarchiv.net/foren/beitrag-9768.html På tysk, men der foreslåes at afinstallere programmet har du tjekket om det kan gøres?
og så skal der laves en registrering
regsvr32 /u C:\WINNT\system32\NDrv.dll
<enter>

---

Kender ikke meget til win2000 men kunne man ikke slette de filer fra et recovery panel?

---

Den har jeg læst.
Jeg har afinstalleret programmet. Det går også fint nok, så findes programmet ikke mere under tilføj/fjern programmer, men alt det andet ser ud som det plejer.

Jeg kan ikke slette den i regdatabasen ej heller de tilhørende filer.
Men efter jeg prøvede med den nye version af Hijack popper den ikke op mere. Men filerne ligger der stadigvæk og er urokkelige.

---

ØV!

---

Der er ingen recovery i W2K, Tedd, men ellers er princippet fuldstændig det samme som XP. Jeg har jo begge dele så det er nemt at sammenligne.

---

Hej invisible , disse skal fixes i hijackthis.
R3 - URLSearchHook: (no name) - {CA0E28FA-1AFD-4C21-A8DC-70EB5BE2F076} - C:\Programmer\SurfSideKick 2\SskBho.dll
O4 - HKLM\..\Run: [SurfSideKick 2] C:\Programmer\SurfSideKick 2\Ssk.exe
O4 - HKCU\..\Run: [SurfSideKick 2] C:\Programmer\SurfSideKick 2\Ssk.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll

Genstart din pc i fejlsikret , du kommer i fejlsikret ved at trykke F8 under opstart
slet disse:
C:\Programmer\SurfSideKick 2<-mappen
C:\WINNT\System32\Shdocvw.dll<-filen

start i normal og kom men en ny log til tjek

---

Ja det er et program der regenerer sig selv lynhurtigt. Mener der var et andet program herinde der gjorde det samme, men det fandtes der en remover til! Send hijack log filen ind til spywarefri er en løsning, så kommer problemet op i et større forum, men hvis der ikke findes et remover tool til den, tror jeg du må væbne dig med tålmodighed!

---

Dannyboyd man må håbe du ved hvad du gør for denne C:\WINNT\System32\Shdocvw.dll er:
shdocvw.dll is a library used by Windows applications to add basic file and networking operations.

---

Så ser den sådan her ud:

Logfile of HijackThis v1.98.2
Scan saved at 15:33:08, on 27-10-2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\ibmpmsvc.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\System32\S24EvMon.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programmer\Cisco Systems\VPN Client\cvpnd.exe
C:\Programmer\NavNT\defwatch.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmer\NetOp Remote Control\HOST\NHOSTSVC.EXE
C:\Programmer\NavNT\rtvscan.exe
C:\Programmer\Kodak\Kodak EasyShare software\bin\ptssvc.exe
C:\WINNT\System32\RegSrvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\ScsiAccess.EXE
C:\WINNT\system32\TpKmpSVC.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Programmer\NavNT\vptray.exe
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\Programmer\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
C:\Programmer\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe
C:\Programmer\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\WINNT\system32\ctfmon.exe
C:\Programmer\Fælles filer\System\MAPI\1030\nt\MAPISP32.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft internet explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
-->> R3 - URLSearchHook: (no name) - {CA0E28FA-1AFD-4C21-A8DC-70EB5BE2F076} - C:\Programmer\SurfSideKick 2\SskBho.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmer\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [vptray] C:\Programmer\NavNT\vptray.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [RT Desktop clean] C:\bat\ryd.bat
O4 - HKLM\..\Run: [MSConfig] C:\Documents and Settings\rt\Skrivebord\MSCONFIG.EXE /auto
-->> O4 - HKLM\..\Run: [SurfSideKick 2] C:\Programmer\SurfSideKick 2\Ssk.exe
-->> O4 - HKCU\..\Run: [SurfSideKick 2] C:\Programmer\SurfSideKick 2\Ssk.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmer\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: VPN Dialer (OnStartup).lnk = C:\Programmer\Cisco Systems\VPN Client\ipsecdialer.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\PLUGINS\NPDocBox.dll
O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://netplayer.swdc.dk/Rawflow.cab
O16 - DPF: {74FFE28D-2378-11D5-990C-006094235084} (IBM Access Support) - http://www-307.ibm.com/pc/support/IbmEgath.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.1_06) -
O16 - DPF: {8EC18CE2-D7B4-11D2-88C8-006008A717FD} (NCSView Class) - http://130.228.229.70/ecwplugins/ncs.cab
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) -
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab

---

Så det ser jo ikke meget anderledes ud, selv om Hijack "lovede" at de 4 punter var slettet.

Om end ikke andet så fik vi et par timer til at gå, så det havde næsten været hurtigere at ominstallere hele lortet

Hvem skal jeg nu give mine point til ??????

---

Du kan jo give pointene til den første der svarede og så syntes jeg stadig og Tedd er åbenbart enig, læg den på spywarefri også så andre kan få glæde af løsningen hvis den findes

---

Du får pointenen, trods det vi aldrig fik løst problemet.
                        

---

Jo tak, men du kunne jo ha ladet spørgsmålet stå og så ha forhøjet med 20 points engang hver uge for at lade spørgsmålet komme først på listen igen! Men ok det har da været nogle fornøjelige timer!

---

Jeg gider ikke have mine spørgsmål åbne så længe. Lige så snart den er væk fra last25, sker der ikke noget på ens spørgsmål.

---

Det er synd I giver op så let herinde...

Fik du slettet denne mappe i fejlsikret:
C:\Programmer\SurfSideKick 2 <-mappen

slet så dine temp mapper også i fejlsikret:
åbn disse og slet indholdet.
C:\Windows\Temp\
C:\Documents and Settings\<Din bruger>\Local Settings\Temp\
C:\Documents and Settings\<Alle andre brugere>\Local Settings\Temp\
C:\Documents and Settings\<Din bruger>\Local Settings\Temporary Internet Files\
C:\Documents and Settings\<Alle andre brugere>\Local Settings\Temporary Internet Files\

hjalp det?

---

Ked af det danny.

Mappen er stadigvæk låst, da processen kører selv i fejlsik.
Men jeg kan ikke lige se hvad mine temp filer har med dette her at gøre.

Jeg tror SSK er lidt mere sustifikeret end at skulle "gemme" sig i mine temp filer

---

Kom lige til at se i hijackthis! Under Config og Misc Tools er der en option der hedder delete a file under reboot!! Det kunne jo være det hjalp?

---

Jeg troede et kort øjeblik vi havde den....

Jeg prøvede 3 gange med de forskellige filer i folderen, men ak..... De flyttede sig ikke ud af flækken.

Mon ikke dem som har lavet softwaren har set Hijack programmet ?

---

Fandens!

---

Prøv det samme i fejlsikker?

Eftersom du ikke er logget ind i systemet, kan du ikke skrive et indlæg til dette spørgsmål.

Hvis du ikke allerede er registreret, kan du gratis blive medlem, ved at trykke på "Bliv medlem" ude i menuen.