---

Hej jeg er ved at blive vanvittig når jeg tænder min maskine får jeg en stor sort firkant med røde bogstaver som skriver SPYWARE INFECTION og så har den indsat en toolbar som... hvis jeg trykker på "remove toolbar" det røde kryds får jeg to ting en Http adresse (http://search-org.net/search.php?q=spyvare) og et nyt skilt I EXPLORE.EXE har fundet en fejl og afsluttes nu. og selv om man ignorerer og krydser det hele væk får jeg el gul "talebobbel" nede i højre hjørne (Som springer ud fre en lille rød advarselsklat med et hvidt kryds) med et halvt minuts mellemrum hvor der står:
Your computer is infectet
Windows has detektet spyvareinfection
It is recommandet to use special antispyvare tools to prevent
data loss. Windows will now download and install the most
up-to-darte antispywarefor you.
Click here to protectyour computer from spyvare !

Hvad sker der er det optrækkeri eller er det pengeafpresning og eller hvordan kommer jeg af med dette onde....
hilsen en fortabt Henrik

---

Hvad har du af Virus Scanner / Spyware scanner ?????

---

Gå ind på www.spywarefri og lav en onlinescanning
Mvh Sune

---

Du har fået denne her ser det ud til
http://securityresponse.symantec.com/avcenter/venc/data/trojan.spaxe.html

---

En mulighed er at prøve dette freewareprogram: http://www.share2.com/spywaredoctor/download.htm

Free Spyware Scan, Adware Scan
--------------------------------------------------------------------------------
Spyware Doctor download and review by share2.com! Free Spyware Scan, Adware Scan Available!!!

---

Ellers kan man i nogle tilfælde gå ind i kør og skrive msconfig trykke enter og så trykke på fanebladet start i det vindue der kommer frem og der kan man fjerne flueben i det der starter op med maskinen
mvh sune

---

Ups www.spywarefri.dk

---

fik først min væk da jeg bruge denne

http://www.microsoft.com/downloads/details.aspx?FamilyId=321CD7A2-6A57-4C57-A8BD-DBF62EDA9671&displaylang=en

---

Du er blevet "hijacked" af spyware. Hent HijackThis herhttp://www.spywarefri.dk/downloads1/hijackthis.exe Dobbeltklik filen, klik "do a system scan, and save a logfile" , og kopier loggen her ind, så ser jeg på den og giver dig en vejledning til at slippe af med det.

---

Hej stl_s
hvordan gør jeg ??
jeg arbejder på to maskiner jeg har skannet den inficerede og har nu en logfil på min USB pind, men hvordan får jeg den fil sat herind på kandu
Henrik

---

Kender min...

Du skal trykke på det jeg sendte dig....

downloade det der kommer frem, og så installere det...

når du har gjort det kommer der frem et sted der vist er rødt, om du vil køre en scanning....

Når du gør det, er jeg sikker på den finder det "onde" og smider væk når den er færdig, men læs det der kommer efterhånden , så tror jeg på det går

Hilsen

Henrik *S*

---

Toves_Henrik

Højreklik på loggen, og klik "marker alt". Også i højreklikket "kopier". Så går du her ind i tråden, højreklikker igen, og klikker "sæt ind".

---

Logfile of HijackThis v1.99.1
Scan saved at 23:43:07, on 03-01-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmer\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmer\Sophos SWEEP for NT\SWNETSUP.EXE
C:\Programmer\Sophos SWEEP for NT\SWEEPSRV.SYS
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Roxio\Easy Media Creator 7\Drag to Disc\DrgToDsc.exe
C:\Programmer\Analog Devices\SoundMAX\SMTray.exe
C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmer\Intel\PROSetWired\NCS\PROSet\PRONoMgr.exe
C:\Programmer\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programmer\QuickTime\qttask.exe
C:\WINDOWS\system32\popcorn72.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\MouseWare\system\em_exec.exe
C:\Programmer\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\winstall.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Programmer\Sophos SWEEP for NT\ICMON.EXE
C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\Programmer\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Henrik Hagerup\Skrivebord\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\system32\msblank.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
R3 - URLSearchHook: (no name) - {8465839E-127D-516A-B4AD-C73F46FCD28F} - install2.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\encyp.dll
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\encyp.dll
O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Programmer\Roxio\Easy Media Creator 7\Drag to Disc\DrgToDsc.exe"
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [DevconDefaultDB] C:\WINDOWS\READREG /PSCONV={NO}
O4 - HKLM\..\Run: [Smapp] C:\Programmer\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [PRONoMgrWired] C:\Programmer\Intel\PROSetWired\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programmer\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\system32\popcorn72.exe rundll.dll,LoadMouseProfile
O4 - HKLM\..\Run: [iehelper] RtlFindVal.exe
O4 - HKLM\..\Run: [gabber] driver64.exe
O4 - HKLM\..\Run: [yaemu.exe] C:\WINDOWS\system32\yaemu.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SetDefaultMIDI] MIDIDef.exe
O4 - HKCU\..\Run: [desktop] C:\WINDOWS\system32\idemlog.exe
O4 - HKCU\..\Run: [UnSpyPC] "C:\Programmer\UnSpyPC\UnSpyPC.exe"
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [bnui] StatusCheck.exe
O4 - HKCU\..\Run: [NukeSpan] DCC_send.exe
O4 - HKCU\..\Run: [dePloy] install2.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: InterCheck Monitor.LNK = C:\Programmer\Sophos SWEEP for NT\ICMON.EXE
O4 - Global Startup: officejet 6100.lnk = ?
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~2\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{0E80F7D1-25EC-4DE8-83CA-10F9A948C283}: NameServer = 85.255.116.77,85.255.112.207
O17 - HKLM\System\CCS\Services\Tcpip\..\{F7ABA25E-3835-4DD3-BE03-9917A3BCD65C}: NameServer = 85.255.116.77,85.255.112.207
O17 - HKLM\System\CS1\Services\Tcpip\..\{0E80F7D1-25EC-4DE8-83CA-10F9A948C283}: NameServer = 85.255.116.77,85.255.112.207
O17 - HKLM\System\CS2\Services\Tcpip\..\{0E80F7D1-25EC-4DE8-83CA-10F9A948C283}: NameServer = 85.255.116.77,85.255.112.207
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programmer\Intel\PROSetWired\NCS\Sync\NetSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmer\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Sophos Anti-Virus Network (SweepNet) - Sophos Plc - C:\Programmer\Sophos SWEEP for NT\SWNETSUP.EXE
O23 - Service: Sophos Anti-Virus (SWEEPSRV.SYS) - Sophos Plc - C:\Programmer\Sophos SWEEP for NT\SWEEPSRV.SYS

Jo så er det gjort jeg skal bare hjulpes....... tak

---

Det bliver en større omgang, men lad os komme igang. I første omgang skal du hente, og køre, nogle specielle renseprogrammer. Det kan se lidt forvirrende ud, men hvis du følger vejledningerne slavisk, og går det igennem stille og roligt, så skal det nok gå.



Hent denne virusscanner http://www.claymania.com/KASFX.EXE

Udpak den, tast <enter>, og lad den opdatere. Sæt et ekstra flueben i DRIVE, og klik så "Scan/Clean".

Scanningen kan godt vare længe, afhængig af hvor mange filer den skal scanne.

Når scanningen er færdig, klik OK, EXIT, og EXIT.





Under dette fix vil computeren blive genstartet, og du bør derfor printe vejledningen ud, for at have den ved din side under hele fixet. Fixet skal bruge adgang til internettet, så det skal du sikre dig, at der er.

1. Hent FixWareout fra et af disse links:

http://downloads.subratam.org/Fixwareout.exe
http://swandog46.geekstogo.com/Fixwareout.exe

2. Gem filen på dit Skrivebord og dobbeltklik på den. Klik Next -> Install og check, at der er et flueben i "Run fixit" - klik herefter på Finish. Fixet vil nu starte, og du skal blot følge instruktionerne. Du vil blive bedt om at genstarte din computer - gør venligst det. Genstarten vil tage lidt længere tid end normalt...

3. Når dit system genstarter skal du fortsat følge den vejledning, der gives på skærmen. Når fixet er færdigt vil HijackThis starte automatisk - klik på Scan, og sæt et flueben ud for følgende linier - luk øvrige programvinduer - klik "Fix checked":


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\system32\msblank.html
R3 - URLSearchHook: (no name) - {8465839E-127D-516A-B4AD-C73F46FCD28F} - install2.dll (file missing)
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\encyp.dll
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\encyp.dll
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\system32\popcorn72.exe rundll.dll,LoadMouseProfile
O4 - HKLM\..\Run: [iehelper] RtlFindVal.exe
O4 - HKLM\..\Run: [gabber] driver64.exe
O4 - HKLM\..\Run: [yaemu.exe] C:\WINDOWS\system32\yaemu.exe
O4 - HKCU\..\Run: [desktop] C:\WINDOWS\system32\idemlog.exe
O4 - HKCU\..\Run: [UnSpyPC] "C:\Programmer\UnSpyPC\UnSpyPC.exe"
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [bnui] StatusCheck.exe
O4 - HKCU\..\Run: [NukeSpan] DCC_send.exe
O4 - HKCU\..\Run: [dePloy] install2.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{0E80F7D1-25EC-4DE8-83CA-10F9A948C283}: NameServer = 85.255.116.77,85.255.112.207
O17 - HKLM\System\CCS\Services\Tcpip\..\{F7ABA25E-3835-4DD3-BE03-9917A3BCD65C}: NameServer = 85.255.116.77,85.255.112.207
O17 - HKLM\System\CS1\Services\Tcpip\..\{0E80F7D1-25EC-4DE8-83CA-10F9A948C283}: NameServer = 85.255.116.77,85.255.112.207
O17 - HKLM\System\CS2\Services\Tcpip\..\{0E80F7D1-25EC-4DE8-83CA-10F9A948C283}: NameServer = 85.255.116.77,85.255.112.207


4. Luk HijackThis og klik på OK for at fortsætte.



5. Genstart i fejlsikret, hvis du ikke ved hvordan så kig her:

http://fromsej.dk/html/xpfejl.html



Så skal disse filer og mapper slettes ( Markeret imellem og). Nogle af dem er sikkert allerede væk.

* install2.exe << Denne fil

* DCC_send.exe << Denne fil

* StatusCheck.exe << Denne fil

* driver64.exe << Denne fil

* RtlFindVal.exe << Denne fil

* install2.dll << Denne fil

C:\winstall.exe << Denne fil

C:\WINDOWS\system32\idemlog.exe << Denne fil

C:\WINDOWS\system32\yaemu.exe << Denne fil

C:\WINDOWS\system32\popcorn72.exe << Denne fil

C:\WINDOWS\system32\encyp.dll << Denne fil

C:\WINDOWS\system32\encyp.dll << Denne fil

C:\WINDOWS\system32\msblank.htm << Denne fil



C:\Programmer\UnSpyPC << Denne mappe



* Find disse via Start > Søg



Genstart din computer, og kopier indholdet af C:\fixwareout\report.txt herind sammen med en frisk HijackThis log.


Vi er ikke færdige endnu, men det værste er overstået.

---

Tordenkalven -> Tror din besøgstid er overstået her..

Din microsoft AntiSpyware har ikke en chance mod en computer der er så inficeret..

Eneste rigtige er stl_s vejledning..

---

det jeg har oplevet med den der trojaner/spyware er at den kan fjernes med spysweeper og skrivebordet genoprettes derefter med http://www.share2.com/spywaredoctor/download.htm
spysweeper kan du købe hos www.spywarefri.dk

men den der er en grim en, og problemet er ik så meget at fjerne den, men når den er væk kan man ikke ændre sit skrivebords billede... hehe

D9N

---

Svar til Arlet:

Såvidt jeg er orienteret så er dette forum for amatører.

såvidt jeg ved hjælpes man efter erfaringer.

såvidt jeg ved, og for det meste ser det, burde og er tonen derfor ordentlig.

At du kommer med et udfald mod mig på disse sider må tilskrives umodenhed og mennesklig afstumpethed.

Henvend dig hos mig via min profil hvis endelig du vil mig noget i stedet for at bruge denne side til at få afløb for dine

indestængte agressioner over at amatører taler sammen, oven i købet ordentligt.

Det var dt hele....yderligere kommetarer fra dig vil ikke blive kommenteret fra mig på denne tråd.

---

Tordenkalven du har helt ret , man skal tale pænt til hinanden.
men arlet har lidt ret, for Microsoft spywarescanner er ikke anvendelig over for den type trojaner/spyware ...
så derfor nytter det ikke at du skriver ""Kender min...

Du skal trykke på det jeg sendte dig....

downloade det der kommer frem, og så installere det...
"

for den duer ikke til det ...

vh
D9N

---

Tak for hjælp alle sammen
Jeg er ked af hvis jeg er årsag til splid.
Jeg er desværre blevet ramt af arbejde men arejder videre på stl_s vejledning og vender tilbage om et par dage når jeg igen kan få ro

---

Toves_Henrik tror nu ik du er årsag til splid, men der er nok nogen der stadig har lidt at lære *G*

man skal jo opføre sig pænt mod andre , og ikke være konservativ i sin mening om sin egen viden´, da alle ka lave fejl *S*


D9N

---

Ok. Tag dig bare tid til det. Jeg skal nok holde øje med, når du vender tilbage.

---

Ok. Tag dig bare tid til det. Jeg skal nok holde øje med, når du vender tilbage.

---

Ok. Tag dig bare tid til det. Jeg skal nok holde øje med, når du vender tilbage.

---

Hej stl_s

Jeg er står i samme problem som Toves_Henrik.
Jeg far fuldt din guide, men mangler nu slutningen.
Håber du kan hjælpe.

---

Hej brygmesteren.

Det er nok bedre, hvis du opretter dit eget spørgsmål, med en HijackThis log, så vi ikke får blandet tingene sammen.

---

Jo jeg har oprette en ny tråd

http://www.kandu.dk/QuestionHist.aspx?qid=81920

håber du gidder hjælpe.

kan ikke give så mange point for den.

på forhånd tak

---

Tak for svaret stl_s.

Eftersom du ikke er logget ind i systemet, kan du ikke skrive et indlæg til dette spørgsmål.

Hvis du ikke allerede er registreret, kan du gratis blive medlem, ved at trykke på "Bliv medlem" ude i menuen.