/ Forside/ Teknologi / Internet / Sikkerhed / Spørgsmål
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
spyware, virus eller hvad??
Fra : slander
Vist : 1731 gange
200 point
Dato : 10-04-06 20:14

Har fået en mærkelig virus.

Når jeg søger på google og klikker på et af de fundne link, er det ikke den rigtige side der kommer frem. Istedet for den søgte side kommer der nogle ukendte søgesider. :

http://www.camouflageclothingonline.net/vin%20butikker.cfm?nft=1&t=4&p=4

http://www-search.net/vin%20butikker.cfm?nft=1&t=7&p=4

http://wordsea.com/anvendt%20elektronik.cfm?nft=1&t=4&p=4

http://freewirelessworld.com/%22santa%20felicia%22%20vin.cfm?nft=1&t=4&p=4

og flere af den slags..

håber der er nogen der kender en løsning på problemet..

mvh slander

 
 
Kommentar
Fra : fluffyclaus


Dato : 10-04-06 20:30

Det kunne godt være en coolwebsearch variant...

Hent denne stand-alone version of CWShredder og scan din maskine :

http://www.intermute.com/spysubtract/cwshredder_download.html

Vh fluffy



Kommentar
Fra : stl_s


Dato : 10-04-06 20:31

Du er blevet hijacket. Hent HijackThis her http://www.spywarefri.dk/downloads1/hijackthis.exe Opret en mappe til HijackThis, og kald den f,eks hijack. Kør programmet, klik "do a systemscan and save a log file". Kopier loggen her ind i tråden, så kigger jeg på den, og giver dig en vejledning til at slippe af med skidtet.

Kommentar
Fra : slander


Dato : 10-04-06 20:39

CWShredder fandt desværre ikke noget..

her er logfilen fra hijack:

Logfile of HijackThis v1.99.1
Scan saved at 20:32:29, on 10-04-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Google\Gmail Notifier\G001-1.0.25.0\gnotify.exe
C:\Programmer\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmer\Trillian\trillian.exe
C:\Programmer\AntiVir PersonalEdition Classic\sched.exe
C:\Programmer\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmer\ewido\security suite\ewidoctrl.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\Programmer\Windows Defender\MsMpEng.exe
C:\Programmer\Windows Defender\MSASCui.exe
L:\arb\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = H
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmer\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Programmer\Google\Gmail Notifier\G001-1.0.25.0\gnotify.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmer\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Windows Defender] "C:\Programmer\Windows Defender\MSASCui.exe" -hide
O4 - Startup: Trillian.lnk = C:\Programmer\Trillian\trillian.exe
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O16 - DPF: {0E5F0222-96B9-11D3-8997-00104BD12D94} (PCPitstop Utility) - http://pcpitstop.com/pcpitstop/pcpitstop.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C51C7D87-A27F-4BF8-8BC5-A015C096B73F}: NameServer = 85.255.115.83,85.255.112.206
O17 - HKLM\System\CCS\Services\Tcpip\..\{EF7ACE57-3FC0-4FDC-9012-CE8C5A43BDF2}: NameServer = 85.255.115.83,85.255.112.206
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmer\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programmer\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmer\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmer\ewido\security suite\ewidoguard.exe



Accepteret svar
Fra : stl_s

Modtaget 200 point
Dato : 10-04-06 21:43

Hmm, du har fået internetforbindelse i Ukraine. Det er formentlig en ny variant af en kendt infektion, så jeg vil godt have dig til at køre dette program først.

Hent Blacklight her http://www.f-secure.com/blacklight/try.shtml Scroll ned på siden, og klik "iaccept". På næste side kan du downloade Blacklight til skrivebordet. Dobbeltklik filen, og klik scan. Hvis Blacklight finder noget, så kopier dens log her ind. Du skal ikke lade Blacklight fjerne noget endnu.

Kommentar
Fra : slander


Dato : 10-04-06 22:16

har lige fået løst problemet med "Fixwareout" hvor jeg slettede filen C:\WINDOWS\System32\CSCDQ.EXE


men i skal alle have tak for hjælpen..

især stl_s som naturligvis får point for hjælpen

Godkendelse af svar
Fra : slander


Dato : 10-04-06 22:19

Tak for svaret stl_s.

håber at denne tråd kan være til hjælp for andre..

mvh slander

Kommentar
Fra : slander


Dato : 10-04-06 22:24

jeg kørte lige "blacklight" for en sikkerhedsskyld men den fandt ikke noget.. endnu en gang tak for hjælpen..

Kommentar
Fra : stl_s


Dato : 10-04-06 22:38

Velbekomme, og tak for point alligevel.

Jeg var godt klar over det var Wareout, men ville lige tjekke om det var den nye variant.

Du skal lige fixe disse i HijackThis:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{C51C7D87-A27F-4BF8-8BC5-A015C096B73F}: NameServer = 85.255.115.83,85.255.112.206
O17 - HKLM\System\CCS\Services\Tcpip\..\{EF7ACE57-3FC0-4FDC-9012-CE8C5A43BDF2}: NameServer = 85.255.115.83,85.255.112.206


Så er din log ren.


Efter et virus/spyware angreb, er det altid en god ide at rydde op i systemgendannelses filerne. Deaktiver systemgendannelse (http://www.spywarefri.dk/virusscannere.htm#alle) - genstart din computer - aktiver systemgendannelse.


Afsluttende rensning af browser cachen:


1. Klik på Funktioner - Internetindstillinger.

2. Under midlertidige filer, klik på slet cookies.

3. Under midlertidige filer, klik på slet filer – sæt flueben i slet alt offline indhold.

4. Under oversigten, klik på ryd oversigten.

5. Klik på ok.

6 Tøm papirkurven.


Husk at "skjule" dine filer igen.


Link til sikring af din computer http://www.spywarefri.dk/manualer/sikkerhedspakke.htm




Du har følgende muligheder
Eftersom du ikke er logget ind i systemet, kan du ikke skrive et indlæg til dette spørgsmål.

Hvis du ikke allerede er registreret, kan du gratis blive medlem, ved at trykke på "Bliv medlem" ude i menuen.
Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408921
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste