---

Nu er det vist tiden for et check af computeren, jeg kører en gang imellem X-Cleaner fra Spywarefri, det er år siden den har fundet noget, men så lige for lidt siden var der bid: http://peecee.dk/?id=55590 jeg kan ikke lige se hvad det er, men klikkede Remove it og genstartede på opfordring fra X-Cleaner, for en sikkerheds skyld, vil jeg gerne have en log checket og gerne en forklaring på, hvad det var som cleaneren fandt

Logfile of HijackThis v1.99.1
Scan saved at 21:19:05, on 30-06-2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\BullGuard Software\BullGuard\BullGuardUpdate.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
g:\Clipinc\Server\ClipInc-Server.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Unlocker\UnlockerAssistant.exe
G:\Clipinc\Player\ClipIncTray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\BullGuard Software\BullGuard\bullguard.exe
C:\Programmer\HDD Health\hddhealth.exe
C:\Programmer\OpenOffice.org 2.2\program\soffice.exe
C:\Programmer\OpenOffice.org 2.2\program\soffice.BIN
g:\Clipinc\Server\ClipInc-Server.exe
C:\WINDOWS\system32\HDDSvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\FREEDO~1\fdm.exe
C:\Programmer\HJTrenamed.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://us.rd.yahoo.com/customize/ie/defaults/sp/ymj/*http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://cm.my.yahoo.com/p/1.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://us.rd.yahoo.com/customize/ie/defaults/su/ymj/*http://www.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaults/sb/ymj/*http://www.yahoo.com/ext/search/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://us.rd.yahoo.com/customize/ie/defaults/sp/ymj/*http://www.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://us.rd.yahoo.com/customize/ie/defaults/su/ymj/*http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Fælles filer\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmer\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmer\Fælles filer\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programmer\Free Download Manager\iefdmcks.dll
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programmer\Unlocker\UnlockerAssistant.exe" -H
O4 - HKLM\..\Run: [BullGuard] "C:\Programmer\BullGuard Software\BullGuard\bullguard.exe" -boot
O4 - HKLM\..\Run: [ClipIncSrvTray] "g:\Clipinc\Player\ClipIncTray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BullGuard] "C:\Programmer\BullGuard Software\BullGuard\bullguard.exe"
O4 - HKCU\..\Run: [HDDHealth] C:\Programmer\HDD Health\hddhealth.exe -wl
O4 - Startup: OpenOffice.org 2.2.lnk = C:\Programmer\OpenOffice.org 2.2\program\quickstart.exe
O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Programmer\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Programmer\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download with Free Download Manager - file://C:\Programmer\Free Download Manager\dllink.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O14 - IERESET.INF: START_PAGE_URL=http://www.yahoo.com
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1163994068633
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1163995888855
O16 - DPF: {BE833F39-1E0C-468C-BA70-25AAEE55775E} (System Requirements Lab) - http://www.systemrequirementslab.com/sysreqlab.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programmer\SUPERAntiSpyware\SASWINLO.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: BullGuard LiveUpdate (BGLiveSvc) - BullGuard Software - C:\Programmer\BullGuard Software\BullGuard\BullGuardUpdate.exe
O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - g:\Clipinc\Server\ClipInc-Server.exe
O23 - Service: ClipInc 002 (ClipInc002) - Unknown owner - g:\Clipinc\Server\ClipInc-Server.exe
O23 - Service: HDD Information Service (HDDSvc) - AltrixSoft (http://www.altrixsoft.com/) - C:\WINDOWS\system32\HDDSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

---

Hej o.v.n.

Mon ikke du selv hat "GOOGLET" peecee.dk men her er lidt om hvad de fortæller om sig selv. Hvilket jo ikke er nogen garanti!!

http://www.peecee.dk/

peecee.dk er danmarks bedste og hurtigste uploadservice. Formålet med servicen er at du som bruger kan uploade dine filer og få hostet dem ganske gratis. ...
www.peecee.dk/ - 6k - Cached - Lignende sider


MVH chaufrat

---

chaufrat: ikke forstået, jeg har lagt et billede af advarslen fra X-Cleaner på peecee.dk, hvad er det du mener med dit link forøvrig googler jeg ikke, hvis du mener søgesiden Google

---

Jeg har blot søgt oplysninger på Google om peecee.dk. McAfee og Linkscanner godkender linket.

Her er så hvad der skrivet om Webstedet: Citat:

peecee.dk er danmarks bedste og hurtigste uploadservice. Formålet med servicen er at du som bruger kan uploade dine filer og få hostet dem ganske gratis. ...

Altså ifølge dem selv et link med Uploadservice. Mon ikke det der er slettet er en cookie?

MVH chaufrat

---

Loggen er i orden.

Den som X-Cleaner fandt, er en regdatabase rest fra WhenU adware http://www.symantec.com/security_response/writeup.jsp?docid=2004-102218-2308-99

Et lidt irriterende program, der genererer popups, men er ellers relativt uskadeligt.

Hvorfor du har fået den rest, er svært at svare på. Måske er det en false positive fra X-Cleaner.

---

Ja jeg undres også ingen scannere har fundet noget i lang tid, så der intet fjernet som måske kunne have ført til denne rest, for øvrig fik jeg computeren fyldt med Snap søge værktøj/toolbar, det kan kun komme fra GiveAwayOftheDay, det eneste som jeg har instaleret i længere tid er den der foto morpher de havde forleden, syntes ellers jeg læste nogenlunde på teksten under instalationen

---

Snap toolbar er snavs http://research.sunbelt-software.com/threatdisplay.aspx?name=Snap%20Toolbar&threatid=116564

Ikke ligefrem god reklame for GiveAwayOftheDay .

WhenU komponenten KAN måske stamme fra den. Det er set før, at snavsfirmaerne bruger de samme komponenter.

---

Ja det er den, og jeg er enig i at det ikke er god reklame, men jeg er 99,9% sikker på at den kun kan komme derfra, jeg fjernede den i Tilføj og fjern programmer, men TweakNow reg cleaner fandt en hel masse i Registreringer, som den ikke kunne slette det var noget dealio seachbar, jeg var i Regedit og overtage alle filerne for at få dem væk(TweakNow viste jo hvor de var)

---

GiveAwayOfTheDay lover jo ellers at deres programmer er rene, men det skal vi så ikke regne med fremover.

Dealio er ikke bedre end Snap http://www.ca.com/us/securityadvisor/pest/pest.aspx?id=453113199

De er formentlig også identiske, i nogle af deres funktioner.

---

Nej desværre, måske burde en eller anden rapportere til dem om min oplevelse, nu fortæller jeg hvordan søgebaren kom: Jeg havde hentet og instaleret denne: http://www.giveawayoftheday.com/morpheus-photo-morpher/ efter at instaleret og registreret softwaren, åbner browseren (Firefox) automatisk, med en side hvor der står noget i retning af you have install xxxxxx what now, det kender jeg, jeg har nemlig et par stykker af deres tilbud og været glad for dem, da browseren åbner ser jeg straks at der er kommet en nyværktøjslinie med Snap søge vindue, jeg gider ikke de ekstra værktøjslinier, så jeg gik i Tilføjelser og deaktiverede den (kunne ikke afinstalere derfra) derefter så jeg i Tilføj og fjern programmer, at Snap search bar var der og afinstalerede, efter en genstart kørte jeg TweakNow som fandt de andre linjer, 15 ialt som Safe to delete, men jeg kunne ikke slette dem før efter jeg havde været i Regedit og overtaget dem!
Men hoved spørgsmålet, min computer er ren, og jeg kan godt gå i banken igen ?????

---

Lige nu sidder jeg og læser her: http://www.giveawayoftheday.com/forums/topic/1297 der er andre som har oplevet noget lignende

---

De toolbars kan ikke påvirke din netbanksikkerhed. Det er "kun" reklame.

Hmm, den er ikke så god med GOTD. Det ser ud til de har slettet kommentarer på siden, om den toolbar

---

Tak for svaret stl_s. Så føler jeg mig sikker igen men ved ikke om jeg tør bruge den gratis side igen, de er åbenbar faldet for fristelsen til at tillade den slags adware, bør de ikke fjerne det lille grøne skilt med 100% - clen no - adware - no spyware

---

Måske har de fået en lærestreg af brugerne, måske ikke. Ihvertfald så var de i strid med deres egen politik, selv om toolbaren var valgfri.

Hmm, åbenbart så blev der installeret to filer alligevel, selv om folk sagde nej. Har du tjekket om de skulle være tilstede ?

DealioKit1-stub-0.exe
SnapVisualSearch41.exe

---

Måske vi lige skulle tjekke hvad Combofix kan fortælle om nyere filer:

Hent Combofix, og gem den på dit skrivebord:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Kør så combofix.exe, og følg vejledningen i vinduet.

Du bør ikke klikke på vinduet imens værktøjet kører, idet det kan få din computer til at fryse.
Når combofix er færdig, og efter det har genstartet, skulle der gerne åbnes en logfil: combofix.txt som kan findes her-C:\combofix.txt

---

Jeg prøver en søgning på de 2 navne og bagefter ComboFix, kan du holde dig vågen så længe ? Jeg skal også have sat noget mere kaffe over og så advarer jeg i et nyt tip

---

Ork ja. Bladerunner Directors Cut, og min store spand kaffe, skal nok holde mig vågen .

Godt tip .

---

SnapVisualSearch41.exe skal ifølge søgningen, være nævnt i en Bullguard log for 29. juni, loggen er lang som et ond år, og i første hurtige gennemlæsning så jeg ikke noget der ligner, og så alligevel helt nede på linje 5648 og frem, er de begge nævnt, i første omgang blokeret senere tilladt (det har jeg nu ikke givet tilladelse til ) men de er begge væk nu, så det vælger jeg at se bort fra, ellers fandt søgningen ikke noget, om lidt kører jeg ComboFix

---

Ok

---

Hej igen, nu er jeg lidt i tvivl om dette er loggen, ellers fulgte jeg ikke ordenlig med og du må prøve at forklare hvor den er, men se denne, er det den rigtige:
Der er kommet en genvej til Internet Explore på skrivebordet, helt af sig selv her i aften, og nu er jeg så på med Exploreren

---

Der er et par restmapper fra Morpheus, ellers ser det fint ud:

C:\Programmer\Morpheus Photo Morpher

C:\DOCUME~1\OVENRG~1\APPLIC~1\Morpheus Software

---

Windows er altså altid "spændende"

---

Rest mapper morpheren er stadig instaleret, men ikke ret længe, jeg troede at jeg kunne lave sjov med billeder og sende dem til vennerne, men de "sjove" billder kan jeg ikke finde noget program til at åbne, så jeg kan lige så godt afinstalere Photo Morpher

---

Nå okay, men i det mindste er programmet i sig selv rent.

---

Og så her fra.

---

Sov godt og mange tak for hjælpen

Eftersom du ikke er logget ind i systemet, kan du ikke skrive et indlæg til dette spørgsmål.

Hvis du ikke allerede er registreret, kan du gratis blive medlem, ved at trykke på "Bliv medlem" ude i menuen.