/ Forside/ Teknologi / Internet / Sikkerhed / Spørgsmål
Login
Glemt dit kodeord?
Brugernavn 

Kodeord  


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7057
10  molokyle 6481
Spyware / Virus
Fra : Jonner2be
Vist : 265 gange
40 point
Dato : 08-05-05 22:09

Hey...
Jeg var fået noget spyware/virus, så hver gang jeg starter internet explore så kommer jeg ind på den her side; http://www.quicknavigate.com/ og den er sat til at starte op med tom side altå; about:blank. Den går også sådan så jeg ikke kan komme ind på min hotmail. Hver gang jeg er logget ind, smider den mig stadig hen til det link dér.
Jeg har prøvet at installer:
Spyware Doctor
ewido security suite
spywareguard
adaware
AVG Free Edition
hijackthis
kaspersky/mwavscan.com
og det ser ikke ud til at virke noget af det..
kaspersky siger noget med File "C:\WINDOWS\system32\__delete_on_reboot__intmon.exe infected by "Trojan.Win32.Puper.a" Virus. Action Taken: File to be deleted on reboot."
men hver gang jeg genstarter står det bare at den ikke kan slå den ihjel.
med hijackthis får jeg en log som siger;
Logfile of HijackThis v1.99.1
Scan saved at 18:44:17, on 08-05-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\shnlog.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\SpywareGuard\sgmain.exe
C:\Programmer\SpywareGuard\sgbhp.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programmer\ewido\security suite\ewidoctrl.exe
C:\Programmer\ewido\security suite\ewidoguard.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\intmon.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\Spyware Doctor\swdoctor.exe
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\Johny\Skrivebord\hijackthis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.quicknavigate.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.quicknavigate.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.quicknavigate.com/search.php?qq=%1
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qfind.net/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.qfind.net/search.php?qq=%s
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://qfind.net/bar/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.qfind.net/search.php?qq=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.qfind.net/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.quicknavigate.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.quicknavigate.com/search.php?qq=%1
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.qfind.net/search.php?qq=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.qfind.net/search.php?qq=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.quicknavigate.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.quicknavigate.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.qfind.net/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF} - C:\WINDOWS\system32\hp515C.tmp
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [mwavscan] "C:\Programmer\Kaspersky\mwavscan.com" /s
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programmer\Spyware Doctor\swdoctor.exe" /Q
O4 - Startup: SpywareGuard.lnk = C:\Programmer\SpywareGuard\sgmain.exe
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~2\tools\iesdpb.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra button: Microsoft AntiSpyware helper - {7A10A715-2288-41A9-AA8C-B1AB548079D5} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {7A10A715-2288-41A9-AA8C-B1AB548079D5} - (no file) (HKCU)
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=34738&clcid=0x409
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Programmer\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmer\ewido\security suite\ewidoguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

som sjovt nok ikke siger mig noget som helst :S
men det gør den måske til jer
der er ellers ikke rigtig andet galt med min comp, men det kan være noget med min processor som ikke kunne tage mod spyware, sagde min lærer da han hjælp mig med at samle den..
håber i kan hjælpe mig :)

- mvh Jonner

 
 
Kommentar
Fra : miritdk


Dato : 08-05-05 22:21
Kommentar
Fra : CLAN


Dato : 08-05-05 22:38

Måske lidt mere direkte til deres forum på http://www.spywarefri.dk/forum/


Kommentar
Fra : bo580


Dato : 09-05-05 08:37

Du kan evt. prøve at gendanne computeren til et tidligere stadie, hvor den virkede..

tryk start-programmer-tilbehør-system værktøjer-systemgendannelse

Kommentar
Fra : anja5


Dato : 09-05-05 09:18

Problemet med de programmer mod spyware er at de fungerer fint (i hvert fald de fleste), hvis du installerer dem på en ren computer. Så kan de holde dit snavs uden, men når huset er brændt er det for sent. Følg Clans henvisning til spywarefri's forum.

Kommentar
Fra : molokyle


Dato : 09-05-05 09:34

Uden du skal tage mit ord for pålydende; vil jeg mene du skal slette :

Kode
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.quicknavigate.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.quicknavigate.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.quicknavigate.com/search.php?qq=%1
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qfind.net/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.qfind.net/search.php?qq=%s
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://qfind.net/bar/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.qfind.net/search.php?qq=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.qfind.net/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.quicknavigate.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.quicknavigate.com/search.php?qq=%1
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.qfind.net/search.php?qq=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.qfind.net/search.php?qq=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.quicknavigate.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.quicknavigate.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.qfind.net/


Vha. Hijackthis, men jeg er ikke sikkerhedsekspert

Ikke verdens mest skudsikre løsning er at du lige læser dette tip : http://www.kandu.dk/dk/tip/10682

</MOLOKYLE>

Kommentar
Fra : tedd


Dato : 09-05-05 15:47

Lad os lige se om vi kan fjerne den der intmon.exe først!

Gå ind i windows jobliste (Tryk Ctrl + Alt + Del) og se om du kan afslutte processen intmon.exe? Hvis du kan så kør Kaspersky igen!

Kommentar
Fra : tedd


Dato : 09-05-05 15:50

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.quicknavigate.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.quicknavigate.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.quicknavigate.com/search.php?qq=%1
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qfind.net/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.qfind.net/search.php?qq=%s
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://qfind.net/bar/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.qfind.net/search.php?qq=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.qfind.net/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.quicknavigate.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.quicknavigate.com/search.php?qq=%1
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.qfind.net/search.php?qq=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.qfind.net/search.php?qq=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.quicknavigate.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.quicknavigate.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.qfind.net/
O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF} - C:\WINDOWS\system32\hp515C.tmp

Alle disse skal fixes med Hijackthis!


Kommentar
Fra : anja5


Dato : 10-05-05 11:49

Det at tedd og andre prøver at fjerne forskelligt fra en hijackThis-log er gjort i bedste mening. Det tvivler jeg ikke på. Men skal eksperter bagefter igang med en log hvor noget er fjernet så kommer de ofte på en urimelig svær prøve. De bruger mange andre små værktøjer end lige netop HijackThis, men når de gør det støder de på ting som burde være i loggen og som skal fjernes tilsidst (rækkefølgen er ikke ligegyldig), men som så ikke er der fordi en anden har fjernet det. I værste fald kan det gøre det umuligt at fjerne hijackeren uden formatering, så det er ikke nogen hjælp at starte op og fjerne noget, - tværtimod. Som sagt jeg ved det er gjort i bedste mening.

Kommentar
Fra : tedd


Dato : 11-05-05 08:33

Tak anja! Hvad så med at komme med en løsning?

Kommentar
Fra : anja5


Dato : 11-05-05 09:55

tedd> Det ville jeg gerne, men jeg nøjes med at henvise til Spywarefri, da jeg har et fuldtidsjob som ikke levner mig megen tid. Om aftenen har jeg et fritidsjob som supporter. Jeg er på til midnat og sover så til kl. 5 hvor det så går løs igen. Men Spywarefri kan klare den slags probs og dem henviser jeg også til som supporter.

Kommentar
Fra : tedd


Dato : 11-05-05 10:05

Det er helt ok! Men i det mindste så må du jo som ekspert kunne påpege hvad der er galt i min anvisning! Jeg er jo absolut ikke ude på at skade andres computere!

Kommentar
Fra : anja5


Dato : 11-05-05 10:24

De nøgler som skal slettes og som du anviser er korrekte. De SKAL slettes, men ikke straks. Der skal startes op med andre små-værktøjer for ellers kommer skidtet tilbage. Iøvrigt så klik ikke på den quicknavigate som er browser-hijacker af den tunge slags. Jeg ved godt at du ikke er ude på at skade nogen. Du gør et fremragende job herinde på Kandu.


Kommentar
Fra : anja5


Dato : 12-05-05 12:17

tedd> Hvis du ser her i dette nyoprettede spørgsmål http://www.kandu.dk/dk/spg/66680 som har den samme infektion som Jonner2be har, så kan du se at Arlet starter forkert op, nemlig med at fjerne det som hijackthis viser. Det skulle han ikke. Du kan se i den efterfølgende hijackThis at infektionen stadig ligger der. Men den kan dog alligevel renses efterfølgende. Den er lettere end Jonner2be's.

Kommentar
Fra : tedd


Dato : 12-05-05 13:13

Har set den! Jeg starter op med at prøve at kill den intmon.exe og bruge kaspersky og så bruge hijackthis hvis det lykkedes! Men det er jo osse lidt svært når der ikke kommer noget feedback fra spørgeren!

Accepteret svar
Fra : jjen

Modtaget 40 point
Dato : 12-05-05 22:29

Du har en mistænkelig fil liggende, som vi lige skal have undersøgt nærmere.

Prøv lige at uploade den fil her:
http://virusscan.jotti.org/
Klik på Gennemse, klik dig så frem til C:\WINDOWS\system32\shnlog.exe og klik så Submit.

Deaktiver din systemgendannelse. Hvis du ikke ved, hvordan du gør det så kig her: http://www.spywarefri.dk/virusscannere.htm#alle

Genstart din maskine i fejlsikret tilstand. Det gør du ved at taste f8 ca. lige når der er talt ram. Prøv bare at taste f8 nogle gange efter hinanden, og så vælger du fejlsikret.

Kør en scanning med Hijackthis, så du kan se alle filer.
Du får herunder nogle filer, som du skal fixe. Det, du skal gøre, er at sætte et flueben ud for disse filer. Når du har gjort det, så lukker du alle andre vinduer ned. Det er meget vigtigt at det eneste vindue, som er åbent er HijackThis vinduet. Husk også at lukke dette vindue, når du har markeret filerne. Nu må du fixe. Klik på Fix checked.

Det er disse, som skal fixes:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.quicknavigate.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.quicknavigate.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.quicknavigate.com/search.php?qq=%1
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qfind.net/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.qfind.net/search.php?qq=%s
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://qfind.net/bar/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.qfind.net/search.php?qq=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.qfind.net/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.quicknavigate.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.quicknavigate.com/search.php?qq=%1
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.qfind.net/search.php?qq=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.qfind.net/search.php?qq=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.quicknavigate.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.quicknavigate.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.qfind.net/

O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF} - C:\WINDOWS\system32\hp515C.tmp

-------------------------------------------------------------------

For at kunne se alle filer og mapper, så følg denne vejledning:
http://www.spywareinfo.dk/#/tip-og-tricks/mappeindstillinger.htm

Søg og slet de filer/mapper jeg har markeret med rød – måske kan du ikke finde dem alle.

C:\WINDOWS\system32\intmon.exe
C:\WINDOWS\system32\hp515C.tmp

** Hvis Jotti ikke godkendte filen, så skal den også søges og slettes:
C:\WINDOWS\system32\shnlog.exe

Genstart

Kør også lige denne onlinescanner for spyware X- Cleaner:
http://www.spywarefri.dk/spywarefri-onlinescan.htm

Tøm din papirkurv.

Du kan rense temp med denne fil, det tager kun få sek.
www.spywareinfo.dk/download/cleantempxp2k.bat

Godkendelse af svar
Fra : Jonner2be


Dato : 12-05-05 22:33

WoW

Kommentar
Fra : anja5


Dato : 12-05-05 23:25

Og så 1000-kroner-spørgsmålet: Hvorfor lader du en bruger som hedder jjen kopiere det svar herover på Kandu som du netop har fået på Spywarefri?????????????? http://www.spywarefri.dk/forum/topic.asp?TOPIC_ID=13823
WOW. Godt gået Spywarefri!!!!

Kommentar
Fra : tedd


Dato : 12-05-05 23:53

Sad nu osse lidt og undrede mig! Første feedback fra spørgeren der når at rense sin PC på 4 minutter og ovenikøbet læse vejledningen!

Kommentar
Fra : anja5


Dato : 13-05-05 06:16

Jeg har købt spørgsmålet så jeg venter bare på Jonner2be's forklaring ellers forekommer det mig at vi er til grin her i tråden. Hvis ikke kan kommer med en god forklaring blacklistes han af mig og forhåbentlig mange andre.

Du har følgende muligheder
Eftersom du ikke er logget ind i systemet, kan du ikke skrive et indlæg til dette spørgsmål.

Hvis du ikke allerede er registreret, kan du gratis blive medlem, ved at trykke på "Bliv medlem" ude i menuen.
Søg
Reklame
Statistik
Spørgsmål : 173466
Tips : 31650
Nyheder : 719565
Indlæg : 6382393
Brugere : 218248

Månedens bedste
Årets bedste
Sidste års bedste