Logfile of HijackThis v1.99.1
Scan saved at 22:18:29, on 06-09-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Webroot\Spy Sweeper\SpySweeper.exe
C:\Documents and Settings\Frank\Skrivebord\alternativ.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.jubii.dk
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.jubii.dk
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = “C:\Programmer\Outlook Express\msimn.exe”
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O4 - HKLM\..\Run: [win_drivr32] C:\WINDOWS\System32\spizohst.exe
O4 - HKLM\..\Run: [!ewido] “C:\Programmer\ewido anti-spyware 4.0\ewido.exe” /minimized
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [win_drivr32] C:\WINDOWS\System32\spizohst.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1156375948406
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O21 - SSODL: ShellFolder for CD Burning - {E61B5E20-DE35-11CF-9C87-1579005127ED} - (no file)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programmer\ewido anti-spyware 4.0\guard.exe
O23 - Service: Webroot Spy Sweeper Engine (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Programmer\Webroot\Spy Sweeper\SpySweeper.exe

Hej,

Jeg kan ikke slette den nr. 021 SSODL Shellfolder fro CD burning (og stadig heller ikke Weebroot) Jeg kan ikke finde og slette den nævnte fil wincomm.exe..og kan ikke komme ind i mit kontrolpanel under “tilføj og fjern” programmer..og heller ikke under “vis skjulte filer” i Mapper.
Jeg har fjernet en del med Ewido- men der er fortsat noget der hedder Adware.altnet, som ikke kan fjernes fordi den siger at det er i et dokument…desuden er “shield” inaktivt, og kan ikke aktiveres i Ewido..
Desuden kan computeren nu kun opstartes fra fejlsikret tilstand- ellers lukker den ned (har ellers kørt hele dagen!)..og superantispyware kan jeg stadig ikke køre/installere…
Men måske løser et sig også...

Mvh. Charlotte

Hejsa

Det lyder ikke for godt. [xx(]

Du har fået en grimmert ind igen nu….

Genstart herefter i Fejlsikret tilstand – F8 i opstart.
——————————————————————————————-

Kør en scanning med Hijackthis, så du kan se alle filer.
Du får herunder nogle filer, som du skal fixe. Det, du skal gøre, er at sætte et flueben ud for disse filer. Når du har gjort det, så lukker du alle andre vinduer ned. Det er meget vigtigt at det eneste vindue, som er åbent er HijackThis vinduet. Husk også at lukke dette vindue, når du har markeret filerne. Nu må du fixe. Klik på Fix checked.

Det er disse, som skal fixes:

O4 - HKLM\..\Run: [win_drivr32] C:\WINDOWS\System32\spizohst.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -
O4 - HKCU\..\Run: [win_drivr32] C:\WINDOWS\System32\spizohst.exe
O21 - SSODL: ShellFolder for CD Burning - {E61B5E20-DE35-11CF-9C87-1579005127ED} - (no file)

———————————————————————
Søg og slet de filer/mapper jeg har markeret med rød – måske kan du ikke finde dem alle.

C:\WINDOWS\System32\spizohst.exe

————————————————————————

Tøm din papirkurv.

Genstart din computer, kør en ny scanning med HijackThis, kopier en ny log herind til tjek.

Vedrørende øvrige problemer:

Prøv at smide xp disken i drevet og gå i start -> kør og skriv sfc /scannow.
Så får du checket og rettet fejl på xp´s systemfiler.
Husk mellemrum mellem c og /

Logfile of HijackThis v1.99.1
Scan saved at 23:14:51, on 06-09-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\ewido anti-spyware 4.0\ewido.exe
C:\Programmer\ewido anti-spyware 4.0\guard.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Webroot\Spy Sweeper\SpySweeper.exe
C:\Documents and Settings\Frank\Skrivebord\alternativ.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.jubii.dk
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.jubii.dk
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O4 - HKLM\..\Run: [!ewido] “C:\Programmer\ewido anti-spyware 4.0\ewido.exe” /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1156375948406
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O21 - SSODL: ShellFolder for CD Burning - {E61B5E20-DE35-11CF-9C87-1579005127ED} - (no file)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programmer\ewido anti-spyware 4.0\guard.exe
O23 - Service: Webroot Spy Sweeper Engine (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Programmer\Webroot\Spy Sweeper\SpySweeper.exe

Hej,

Så fik jeg ryddet lidt ud igen..kan stadig ikkee fjerne nr. 21 + Weebroot (eller køre superantispyware..men måske det heller ikke er nødvendigt!)
Det ser noget lysere ud da PC´en starter uden problemer nu…“skjoldet” på Ewido e slået til igen..og den har lige fjernet noget igen- tror den er ved at få renset ud også..
Jeg kan dog ikke finde den fil spizohst.exe..siger den ikke giver noget resultat på søgningen..skal nok lige have forklaret helt nøjagtigt og i detaljer hvordan jeg gør (bliver dog først imorgen!)
Og tak for hjælpen iøvrigt..det er et fantastisk Forum detteher..havde givet op og var klar til at geninstallere det hele inden jeg blev henvist til jer..
Venter og ser mht. om det ikke løser sig deta ndet jeg nævnte (som stadig ikke virker)..ellers må jeg køre XP som I foreslår..
Mne lige fra jeg startede udrensningen har PC´en kørt meget bedre og hurtigere..den laver ikke “pop ups” mere nogen og slår ikke “blokering af pop up” fra hele tiden (ej heller “vis billeder” under indstillinger)
Mvh. Cahrlotte

Generelt mht søgning:

For at kunne se alle filer og mapper, så følg denne vejledning:
Se alle filer og mapper

Logfile of HijackThis v1.99.1
Scan saved at 12:24:32, on 07-09-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\ewido anti-spyware 4.0\ewido.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\cisvc.exe
C:\Programmer\ewido anti-spyware 4.0\guard.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programmer\ScanPanel\ScnPanel.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Frank\Skrivebord\alternativ.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.jubii.dk
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.jubii.dk
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1156375948406
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O21 - SSODL: ShellFolder for CD Burning - {E61B5E20-DE35-11CF-9C87-1579005127ED} - (no file)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programmer\ewido anti-spyware 4.0\guard.exe
O23 - Service: Webroot Spy Sweeper Engine (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Programmer\Webroot\Spy Sweeper\SpySweeper.exe

Hej,

Her er den seneste logfil…
Jeg har stadig de samme problemer med at få udryddet de to før nævnte elementer /samt afinstallere Spy Sweeper)..og med at installere Superantispyware på computeren (siger at installationen er “corrupted”!) Til gengæld har jeg scannet igen med Ewido, og fået fjernet det sidste..og nu viser den at den ikke kan finde noget, og den er helt opdateret. Men når jeg scanner med Xoftspy.SE viser den ca. 80 inficerede..bl.a “Spy Sheriff” og nogle fra “Deskbar” og “Topsearch”, som Ewido åbenbart ikke opfanger!
Jeg vil prøve det med XP´en nu, for evt. at få løst de problemer med ikke at kunne komme ind i kontrolpanelet og fjerne samt ikke at kunne se de skjulte filer…
Har iøvrigt fået udryddet den der Windows/system 32/spizohst.exe med Ewido..
Men ellers kører computeren tilsyneladende upåklageligt..og starter op med en normal startside for første gang i 3 uger! Uden mærkelige oplysninger om at der er fejl i de og de filer konstant, og med “Active Desk Top” slået fra ved opstart..nu ser den tilsyneladene normal ud igen..og alt det “pop up” og reklamer og ændring i mine indstillinger/startside er helt væk..men skulle gerne lige have det sidste ud..

Mvh. Charlotte

hhmm.. nu var skjoldet pludselig slået fra i Ewido..men fik det genoprettet, og scannet- og der var kommet et element ind som nu er fjernet…

Mvh. Charlotte

—Hent S!Ri’s SmitfraudFix.zip og pak det ud til dit Skrivebord.
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Programmet pakker sig ud i en mappe, der hedder SmitfraudFix.

NB: Filen “process.exe” som ligger i dette værktøj bliver af visse antivirus-programmer identificeret som “RiskTool”. Det har dog ikke noget på sig!

—Genstart i fejlsikret, hvis du ikke ved hvordan så kig her:
http://www.ctrlaltdel.dk/forum/forum_posts.asp?TID=23&PN=1

—Åbn mappen SmitfraudFix som du fik på Skrivebordet, og dobbeltklik på SmitfraudFix.cmd og tast 2 - svar ja til at rense (y=yes). Lad programmet gennemføre en rensning. Det vil også checke om systemfilen wininet.dll er inficeret. Hvis den er det, vil du blive bedt om tilladelse til at erstatte den med en anden. Her skal du vælge “Yes”, ved at taste “y”.

Programmet bliver muligvis nødt til at genstarte undervejs. Herefter vil der dukke en liste med resultaterne af rensningen op . Kopiér denne liste ind i tråden.

—Genstart og læg en frisk Hijackthislog herind, sammen med loggen fra SmitfraudFix (C:\rapport.txt).

Hej,

Tak for svar. Kan I sige noget om hvor lang tid det vil tage at gennemføre den rensning? Er det den antispyware der hedder “Smitfraud” jeg har fået? Ewido viser ikke noget, og PC´en kører tilsyneladende som den skal. Er der nogen risiko ved ikke at rense det ud nu? Og er der nogen risiko ved at prøve at gøre det som anført?

Mvh. Charlotte

Iøvrigt har jeg opdateret med Servicepakke 2 og kan se herinde at man ikke bør gøre det på en inficeret PC. Kan det have haft nogen betydning? Mvh. Charlotte

Spysheriff burde normalt ikke kunne blive fixet i bund af Ewido. Derfor vil jeg anbefale dig at køre fixet. Og jeg vil ikke mene der er nogen risiko ved at køre det. Rigtig mange har kørt det før dig.

Men det er naturligvis op til dig selv, om du er tilfreds med computeren, som den er nu.

Hej,

Nej, men den er heller ikke ren..det er kun Ewido der ikke kan fined noget mere..og når jeg scanner med andre viser de fortsat en masse (bl.a. Spy Sheriff)
I forhold til hvordan den var inden jeg fik hjælp hos jer er der jo sket mirakler..men det ville da være dejligt at blive helt fri..
Hvis der ikke er nogen risiko vil jeg gøre det..skal bare lige vide hvor lang tid det tager ca. inden jeg starter på det…
Jeg kan jo ikke installere Superantispyware, som jeg ellers har fået anbefalet varmt. Kan det have noget med inficeringen at gøre?? Og vil I anbefale at jeg installerer det hvis jeg kan senere (opfanger det mere end Ewido?) Og kan man køre med begge samtidig?

Mvh. Charlotte

Generelt -
“...har jeg opdateret med Servicepakke 2 ...”
- du bør derefter gå i start ->programmer ->Windowsupdate og lade din maskine scanne for nyeste opdateringer. Installer dem du får anbefalet. Der skal nok være >30 ‘pakker’ efter udgivelse af SP2 ...

Vi vil da gerne se en frisk Log… efter fuld kørsel af [SmitfraudFix]. For at se om {E61B5E20-DE35-11CF-9C87-1579005127ED} er blevet ædt…

NB: Inden næste kørsel med HiJackThis.exe skal du OMDØBE programfilen HiJackThis.exe til ALTERNATIV.exe , da visse uønskede elementer har en tendens til at skjule sig når der ruller en process ved navn HiJackThis.exe !!!

PS: Hvad er problemet med [Superantispyware] ?