før den beslutter om jeg skal se den side jerg gerne vil se eller om det igen er på tide at jeg bliver styret til et pornosite…
Jeg har kørt både ad-aware og min McAffee er opdateret og melder intet…
Jeg har forgæves forsøgt at køre House Call fra trend micro, symantecs av fra nettet og fra http://www.ravantivirus.com/scan/indexie.php
fik jeg denne besked:
> Failed to load ActiveX control!
>—You must have administrative rights on this computer;
> you also must have the Internet Explorer security settings to the Medium level.
Det sidste forstår jeg ikke: Normalt har jeg ikke Actice X aktiveret
(netop for at undgå for meget crap på min computer) men netop fordi disse antivirus sites spørger efter det har jeg aktiveret det.
- Stadig uden held på alle tre…
Du følger denne anvisning her punkt 1-3 http://www.spywarefri.dk/hjtanv.htm og så kopiere du din log herind, så kigger vi på den for dig. Vi fortæller dig så hvad du må slette fra loggen, for at slippe af med dine problemer.
det går fint med SpyBot…
- og delvis med HijackThis:
Den kører en scan og finder en masse data, men når jeg skal gemme min logfil går mit McAffee antivirus igang og melder om en virus ved navn: “Exploit-URLSpoof.gen” hvorefter jeg ikke kan få adgang til text-filen og dermed ikke gemme.
Nu ved jeg jo ikke hvilket styresystem du kører med. XP og ME har systemgendannelse, og hvis du har et af de to systemer, så skal vi have slået den gendannelse fra. Hvis du ikke ved hvordan man gør det, så kig her: http://www.spywarefri.dk/virusscannere.htm#alle
—————————————————————————————————
Genstart i fjelsikret tilstand. Søg og slet denne fil: Exploit-URLSpoof.gen
Inden du skal finde og slette disse filer i fejlsikret tilstand, så følg denne vejledning:
Win2K og XP.
Åbn en mappe, klik på Funktioner >Mappeindstillinger >Vis.
Fjern flueben ved “Skjul beskyttede operativsystemfiler”.
Fjern flueben ved “Skjul filtypenavne for kendte filtyper”.
Sæt prik i “Vis skjulte filer og mapper”. —————————————————————————————————-
Genstart normalt, og se om du ikke kan få lov til at gemme din log nu, og læg så en kopi herind.
>
Åbn en mappe, klik på Funktioner >Mappeindstillinger >Vis.
Fjern flueben ved “Skjul beskyttede operativsystemfiler”.
Fjern flueben ved “Skjul filtypenavne for kendte filtyper”.
Sæt prik i “Vis skjulte filer og mapper”.
>
Det er hermed gjort!
Jeg kan ikke genstarte i fejlsikret tilstand, jeg kan vælge Log af, Luk, genstart og standby..??
Jeg prøvede bare at genstarte og søgte derefter efter nævnte fil, men uden resultat…
Herefter prøvede jeg igen at køre hijackthis, men fik igen meddelsen om denne virus??
Vh
Bo
—————————————————————————————————-
Genstart normalt, og se om du ikke kan få lov til at gemme din log nu, og læg så en kopi herind.
>Ok, men kan du stadig ikke få en log kopiert herind. Vi skal bruge >den, for at kunne hjælpe dig videre.
Når jeg forsøger at gemme logfilen dukker min av op og siger at den virus er der. Jeg kan derfor ikke få adgang til at gemme den…
Så må du lige slå dit av fra mens du gemmer din log. Der er næsten ikke andet at gøre. Husk at slå den til igen bagefter.
En tur med en onlinescanner som kan fjerne noget af dit virus vil heller ikke være af vejen. Det kunne du jo prøve først, så skulle de meget gerne fjerne noget af alt dit snavs.
>En tur med en onlinescanner som kan fjerne noget af dit virus vil >heller ikke være af vejen. Det kunne du jo prøve først, så skulle de >meget gerne fjerne noget af alt dit snavs.
Men som jeg skrev allerførst, så vil ingen af dem køre…
Jeg fik slået det fra og fik så følgende fra hijackthis:
Logfile of HijackThis v1.97.7
Scan saved at 13:18:42, on 05-04-2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Kør en scanning med Hijackthis, så du kan se alle filer.
Du får herunder nogle filer, som du skal fixe. Det, du skal gøre, er at sætte en vinge ud for disse filer. Når du har gjort det, så lukker du alle andre vinduer ned. Det er meget vigtigt at det eneste vindue, som er åbent er HijackThis vinduet. Husk også at lukke dette vindue, når du har markeret filerne. Nu må du fixe. Klik på Fix checked. Efter fix skal du genstarte din computer.
Genstart din computer.
Du skal også lige hente og installere programmet Ad-aware. Opdater det straks efter installationen, og inden du kører en scanning med denne. Fjern alt hvad den finder. Programmet samt brugervejledning på dansk finder du her: http://www.spywarefri.dk/vaerktoj.htm#adaware
Genstart din computer, kør en ny scanning med HijackThis, kopier en ny log herind til tjek.
Jeg skal lige høre dig om du har Javascript installeret. Hvis du ikke her det, kan det faktisk godt være derfor du får disse fejlmeddelelser omkring ActiveX. Du kan hente det her: http://www.znn.dk
Jeg har fulgt dine instrukser og markeret de nævnte filer, fixet dem, genstartet, kørt en opdateret udgave af ad-aware, genstartet og kørt hijack igen.
Her er hvad den kom med:
Logfile of HijackThis v1.97.7
Scan saved at 14:24:27, on 05-04-2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
R0 - HKCU/Software/Microsoft/Internet Explorer/Main,Start Page = http://ekstrabladet.dk/VisArtikel.sasp?TemplateID=1
R0 - HKCU/Software/Microsoft/Internet Explorer/Toolbar,LinksFolderName = Hyperlinks
R1 - HKLM/Software/Microsoft/Internet Explorer/Search,(Default) = http://homepage.com@www.e-finder.cc/search/ (obfuscated)
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio; - {8E718888-423F-11D2-876E-00A0C9082467} - C:/WINNT/System32/msdxm.ocx
O3 - Toolbar: &Google; - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:/WINNT/Downloaded Program Files/googlenav.dll
O4 - HKLM/../Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM/../Run: [WinFaxAppPortStarter] wfxsnt40.exe
O4 - HKCU/../Run: [internat.exe] internat.exe
O4 - Global Startup: Controller.LNK = C:/Programmer/Symantec/WinFax/WFXCTL32.EXE
O4 - Global Startup: Microsoft Office-start.lnk = C:/Programmer/Microsoft Office/Office/OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:/Programmer/WinZip/WZQKPICK.EXE
O8 - Extra context menu item: &Google; Search - res://C:/WINNT/Downloaded Program Files/googlenav.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links; - res://C:/WINNT/Downloaded Program Files/googlenav.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed; Snapshot of Page - res://C:/WINNT/Downloaded Program Files/googlenav.dll/cmcache.html
O8 - Extra context menu item: Si&milar; Pages - res://C:/WINNT/Downloaded Program Files/googlenav.dll/cmsimilar.html
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} (Google Activate) - http://toolbar.google.com/data/da/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37914.0533217593
O16 - DPF: {C2FCEF4E-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI File information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM/System/CCS/Services/Tcpip/Parameters: Domain = je.local
O17 - HKLM/System/CS1/Services/Tcpip/Parameters: Domain = je.local
O17 - HKLM/System/CS2/Services/Tcpip/Parameters: Domain = je.local
Som jeg læser det (i al min uvidenhed) er der en af R1’erne der går igen og det samme gælder O17’erene??
Og igen har jeg problemer med at gemme da jeg får “write acces denied” pga den samme virus igen. Mit av er opdateret og opdager ingenting ved fuld scanning??
>Jeg skal lige høre dig om du har Javascript installeret. Hvis du >ikke her det, kan det faktisk godt være derfor du får disse >fejlmeddelelser omkring ActiveX. Du kan hente det her: >http://www.znn.dk
Det ved jeg ikke om jeg har. Hvor ser jeg det?
Jeg har internet explorer 6, skal jeg bare hente og køre den der ligger på znn??
Ja du skal bare hente det på znn.dk og så installere det.
Du har fuldstændig ret med dem i 017. De kalder en sex tlf. så dem skal vi have væk, derfor prøver du lige at hete det her prg.
Hent cwsschredder her: http://www.spywareinfo.com/~merijn/junk/CWShredder.exe Kør programmet, tjek for updates, luk alle vinduer, undtaget cwsschredder, klik på Next, den scanner nu, når den er færdigt klik på Fix, klik på Exit.
>Ja du skal bare hente det på znn.dk og så installere det.
Hvilken en af dem??
Jeg får i øvrigt en melding når jeg går ind på siden, hvor siden k’ører en slags sytemtjek, der siger OK i felterne A-F..??
>Du har fuldstændig ret med dem i 017. De kalder en sex tlf. så dem >skal vi have væk, derfor prøver du lige at hete det her prg.
OK, hvad med den R1??
>Hent cwsschredder her:
Jeg har gjort som du sagde, den meldte tilbage at den havde slette 7 ting internet explorer…
Den sidste fra hijack ser sådan ud:
>
Logfile of HijackThis v1.97.7
Scan saved at 16:04:40, on 05-04-2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
R0 - HKCU/Software/Microsoft/Internet Explorer/Main,Start Page = http://ekstrabladet.dk/VisArtikel.sasp?TemplateID=1
R0 - HKCU/Software/Microsoft/Internet Explorer/Toolbar,LinksFolderName = Hyperlinks
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio; - {8E718888-423F-11D2-876E-00A0C9082467} - C:/WINNT/System32/msdxm.ocx
O3 - Toolbar: &Google; - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:/WINNT/Downloaded Program Files/googlenav.dll
O4 - HKLM/../Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM/../Run: [WinFaxAppPortStarter] wfxsnt40.exe
O4 - HKCU/../Run: [internat.exe] internat.exe
O4 - Global Startup: Controller.LNK = C:/Programmer/Symantec/WinFax/WFXCTL32.EXE
O4 - Global Startup: Microsoft Office-start.lnk = C:/Programmer/Microsoft Office/Office/OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:/Programmer/WinZip/WZQKPICK.EXE
O8 - Extra context menu item: &Google; Search - res://C:/WINNT/Downloaded Program Files/googlenav.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links; - res://C:/WINNT/Downloaded Program Files/googlenav.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed; Snapshot of Page - res://C:/WINNT/Downloaded Program Files/googlenav.dll/cmcache.html
O8 - Extra context menu item: Si&milar; Pages - res://C:/WINNT/Downloaded Program Files/googlenav.dll/cmsimilar.html
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} (Google Activate) - http://toolbar.google.com/data/da/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37914.0533217593
O16 - DPF: {C2FCEF4E-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI File information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM/System/CCS/Services/Tcpip/Parameters: Domain = je.local
O17 - HKLM/System/CS1/Services/Tcpip/Parameters: Domain = je.local
O17 - HKLM/System/CS2/Services/Tcpip/Parameters: Domain = je.local
>
Så nu er den R1’er væk, men de tre O17’ere er der stadig..??
I øvrigt har den før kørsel af det sidste trin du anbefalede igen først smidt et vindue op hvor der i url’en stod: http://www.locator.cc/undefined
og da jeg lukkede det vindue kom der igen et pornosite op…
Jeg har også prøvet at køre en fuld virus scan i alle filer (også komprimerede på alle drev osv), den siger ingenting, men for at gemme den log fra hijack der er i dette indlæg var jeg igen nød til at slå av fra fordi den ellers kommer frme med den Exploit-virus fra før??
Hent MSconfig her: http://www.svrops.com/svrops/dwnldoth.htm - Msconfig til 2K
Gem den i en mappe, dobbeltklik på den, i fanebladet Generelt sætter du prik i “Diagnostisk start”, genstart så, og nu er du i fejlsikret.
Kør hijackthis igen, fix de 3 017, genstart normalt, og kom med en ny log.
Her er først logen fra før jeg kørte i fejlsikret tilstand:
>
Logfile of HijackThis v1.97.7
Scan saved at 17:50:09, on 05-04-2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Hernæst er den lige efter jeg havde fixet den:
>
Logfile of HijackThis v1.97.7
Scan saved at 18:07:22, on 05-04-2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Men efter genstart er de her igen:
>
Logfile of HijackThis v1.97.7
Scan saved at 18:17:27, on 05-04-2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Dog med den forskel at jeg nu kan skrive til de filer jeg vil, også med av aktiveret. Jeg kan også køre Housecall fra trend micro…
Da jeg kørte den sidste kom min egen av op og sagde at den havde fundet exploit-virusen og jeg fik den slettet…
Så det fungerer nu?? Eller hvad med de der O17’ere??
Din log er ren nu, de tre 017 har jeg lige rådspurgt om, de er gode nok.
Du må være på et domæne med den maskine.
Vi har sammensat en pakke med programmer der gør surfing mere sikker. http://www.spywarefri.dk/pakken.htm http://www.eksperten.dk/artikler/144
Som minimum anbefaler jeg Spywareguard, Spywareblaster, IE-Spyad og IE Privacy Keeper.
Mvh:
Fromsej/Team Spywarefri.
