Spywarefri Forum | DyFuCA kan ikke fjernes af spybot

DyFuCA kan ikke fjernes af spybot

[ Ignorer ] Thunder
08.07.2004 14:23:17 Antal indlæg: 125	Jeg har jeres sikkerhedspakke installeret og har kørt add-aware som er den nyeste og opdateret. Den fandt ikke DYFuCA men derimod et par cookies som så er fjernet. Spybot derimod, som også er opdateret, fandt DYFuCA men kan ikke fjerne den. Heller ikke under opstart:(. Webroots Spysweeper fandt også noget men heller ikke DYFuCA. Jeg tog så en søgning på Google og fandt en løsning hos Sophos men der er ingen af de filer på PC’en heller ingen af de nøgler i registreringsdatabasen. Jeg har listet de steder jeg har besøgt og prøvet deres manuelle forslag til fjernelse. http://www.sophos.com/virusinfo/analyses/dialdyfucaa.html http://www.pestpatrol.com/PestInfo/d/dyfuca.asp Her hentede jeg programmet Bazooka men det fandt heller ikke noget: http://www.kephyr.com/spywarescanner/library/dyfuca/index.phtml Jeg prøvede så den manuelle vej. Heller ikke noget. Og her http://www.antivirusworld.com/articles/dyfuca.php Nå, jeg har lavet dette fra Spybot: DyFuCA: Settings (Registry value, nothing done) HKEY_USERS/S-1-5-21-1004336348-1343024091-1060284298-1003/Software/Microsoft/Internet Explorer/Main/BandRest —- Spybot - Search && Destroy version: 1.3 —- 2004-06-16 Includes/Cookies.sbi 2004-06-16 Includes/Dialer.sbi 2004-06-17 Includes/Hijackers.sbi 2004-06-16 Includes/Keyloggers.sbi 2004-06-16 Includes/Malware.sbi 2004-06-16 Includes/Revision.sbi 2004-06-16 Includes/Security.sbi 2004-06-16 Includes/Spybots.sbi 2004-06-16 Includes/Trojans.sbi 2004-05-12 Includes/LSP.sbi 2004-06-16 Includes/Tracks.uti Og her er eh hijackthis log Logfile of HijackThis v1.97.7 Scan saved at 12:19:39, on 08-07-2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:/WINDOWS/System32/smss.exe C:/WINDOWS/system32/winlogon.exe C:/WINDOWS/system32/services.exe C:/WINDOWS/system32/lsass.exe C:/WINDOWS/system32/svchost.exe C:/WINDOWS/System32/svchost.exe C:/WINDOWS/system32/spoolsv.exe C:/WINDOWS/Explorer.EXE C:/WINDOWS/System32/nvsvc32.exe C:/WINDOWS/System32/svchost.exe C:/Programmer/Trend Micro/PC-cillin 2003/Tmntsrv.exe C:/WINDOWS/System32/MsPMSPSv.exe C:/Programmer/Trend Micro/PC-cillin 2003/tmproxy.exe C:/Programmer/Trend Micro/PC-cillin 2003/PccPfw.exe C:/WINDOWS/System32/RunDll32.exe C:/Programmer/Trend Micro/PC-cillin 2003/pccguide.exe C:/Programmer/Trend Micro/PC-cillin 2003/PCCClient.exe C:/Programmer/Trend Micro/PC-cillin 2003/Pop3trap.exe C:/PROGRA~1/FÆLLES~1/TerraTec/SCHEDU~1/TTTimer.exe C:/WINDOWS/System32/ctfmon.exe C:/Programmer/SpamPal/spampal.exe C:/Programmer/Apache Group/Apache/Apache.exe C:/Programmer/Apache Group/Apache/Apache.exe C:/Programmer/Yahoo!/Messenger/YPager.exe C:/Programmer/Fælles filer/Real/Update_OB/evntsvc.exe C:/Programmer/Xi/NetTransport 2/NetTransport.exe D:/TOOLS/SpyWare Tools/Hijackthis/hijackthis.exe R0 - HKCU/Software/Microsoft/Internet Explorer/Main,Local Page = O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:/PROGRAMMER/ADOBE/ACROBAT 5.0/READER/ACTIVEX/ACROIEHELPER.OCX O2 - BHO: IE Privacy Keeper - Last IE Window Detector - {1201333E-BAD9-481C-BCF5-6904498CF85B} - C:/Programmer/UnH Solutions/IE Privacy Keeper/IEPKbho.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:/PROGRA~1/SPYBOT~1/SDHelper.dll O2 - BHO: (no name) - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:/Programmer/Xi/NetTransport 2/NTIEHelper.dll O3 - Toolbar: &Radio; - {8E718888-423F-11D2-876E-00A0C9082467} - C:/WINDOWS/System32/msdxm.ocx O4 - HKLM/../Run: [SystemTray] SysTray.Exe O4 - HKLM/../Run: [NvCplDaemon] RUNDLL32.EXE C:/WINDOWS/System32/NvCpl.dll,NvStartup O4 - HKLM/../Run: [nwiz] nwiz.exe /install O4 - HKLM/../Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM/../Run: [pccguide.exe] “C:/Programmer/Trend Micro/PC-cillin 2003/pccguide.exe” O4 - HKLM/../Run: [PCCClient.exe] “C:/Programmer/Trend Micro/PC-cillin 2003/PCCClient.exe” O4 - HKLM/../Run: [Pop3trap.exe] “C:/Programmer/Trend Micro/PC-cillin 2003/Pop3trap.exe” O4 - HKLM/../Run: [NvMediaCenter] RUNDLL32.EXE C:/WINDOWS/System32/NvMcTray.dll,NvTaskbarInit O4 - HKLM/../Run: [TerraTec Scheduler] C:/PROGRA~1/FÆLLES~1/TerraTec/SCHEDU~1/TTTimer.exe O4 - HKLM/../Run: [TkBellExe] C:/Programmer/Fælles filer/Real/Update_OB/evntsvc.exe -osboot O4 - HKLM/../Run: [QuickTime Task] “C:/WINDOWS/SYSTEM32/qttask.exe” -atboottime O4 - HKLM/../Run: [KernelFaultCheck] %systemroot%/system32/dumprep 0 -k O4 - HKCU/../Run: [ctfmon.exe] C:/WINDOWS/System32/ctfmon.exe O4 - Startup: SpamPal.lnk = C:/Programmer/SpamPal/spampal.exe O8 - Extra context menu item: Download all by Net Transport - C:/Programmer/Xi/NetTransport 2/NTAddList.html O8 - Extra context menu item: Download by Net Transport - C:/Programmer/Xi/NetTransport 2/NTAddLink.html O8 - Extra context menu item: Download with GetRight - C:/Programmer/GetRight/GRdownload.htm O8 - Extra context menu item: E&xport; to Microsoft Excel - res://C:/PROGRA~1/MICROS~1/OFFICE10/EXCEL.EXE/3000 O8 - Extra context menu item: Open with GetRight Browser - C:/Programmer/GetRight/GRbrowse.htm O9 - Extra ‘Tools’ menuitem: Sun Java Console (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra ‘Tools’ menuitem: Yahoo! Messenger (HKLM) O9 - Extra button: ICQ Pro (HKLM) O9 - Extra ‘Tools’ menuitem: ICQ (HKLM) O9 - Extra button: HiDownload (HKLM) O12 - Plugin for .spop: C:/PROGRA~1/INTERN~1/Plugins/NPDocBox.dll O16 - DPF: btcprinv - http://www.supertel.se/download/btcprinv.cab O16 - DPF: Chikka Text Messenger - http://java.chikka.com/library/chikkaLIB_v2.cab O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {18976967-8F33-4157-A030-9C433BE10C36} (BDAddress Class) - http://www.blinddater.dk/profile/BDAddrBook/BDAddrBook.cab O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0401.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38044.6545601852 O16 - DPF: {A8658086-E6AC-4957-BC8E-7D54A7E8A78D} (DoomCln Object) - http://www.microsoft.com/security/controls/DoomCln.CAB O16 - DPF: {A8658086-E6AC-4957-BC8E-7D54A7E8A78E} (SassCln Object) - http://www.microsoft.com/security/controls/SassCln.CAB O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) - O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {D3426292-3750-4D80-9D0F-2816F61A6D15} (SpeedTest Control) - http://81.19.245.211/speedtest/SpeedTest_2.cab O17 - HKLM/System/CCS/Services/Tcpip/../{DF7FBFA3-91FA-4F30-B5FF-50AD23728BC0}: NameServer = 193.162.153.164,194.239.134.83 Hvordan i alverden kommer jeg af med den DyFuCA og der er vist lidt tvivl om det er en dailer eller en virus, hvilken en er det? På forhånd tak for hjælpen:) Med venlig hilsen Jan Johansson
[ Ignorer ] [ # 1 ] Fromsej TeamSpywarefri
08.07.2004 15:33:52 Administrator Team Spywarefri Antal indlæg: 55091	Din log er ren, der er ingen spor af den Dialer. Jeg tror bare du skal slette den værdi i regdatasen. Signatur Member of “Alliance of Security Analysis Professionals” - Alle angaben wie immer “nur mit pistole” Græd du også over eventyret om smedens kat, da du var lille? http://www.spywarefri.dk/medarbejderne/ Nierne bomaye - You’ll never walk alone qui potest, obligatur
[ Ignorer ] [ # 2 ] Thunder
08.07.2004 17:25:40 Antal indlæg: 125	Ja, det mente jeg også. Men da jeg prøvede fik jeg en advarsel om at det må jeg ikke. ??? Nogen gode ideer:) Mvh Jan
[ Ignorer ] [ # 3 ] A.Behrendt TeamSpywarefri
08.07.2004 18:29:29 Redaktør Supporter Emeritus Antal indlæg: 25535	Hej Thunder Ja det har vi da. Download, og kør denne engangscanner: http://www.mwti.net/antivirus/free_utilities.asp Aktiver det hele i opsætningen derinde, så du får scannet alt igennem Den kan finde og fjerne alt hvad der måtte ligger af snavs på din computer.
[ Ignorer ] [ # 4 ] Thunder
09.07.2004 00:03:17 Antal indlæg: 125	Det lyder godt:) Bare et lille spørgsmål, hvilken en er det jeg skal downloade?:) Der er 8 filer man kan downloade på den side:) Mvh Jan
[ Ignorer ] [ # 5 ] Resist TeamSpywarefri
09.07.2004 00:17:45 Redaktør Team Spywarefri Antal indlæg: 11785	Du kan downloade denne: http://www.mwti.net/download/tools/mwav.exe Signatur Med venlig hilsen Resist TeamSpywarefri Member of: Alliance of Security Analysis Professionals
[ Ignorer ] [ # 6 ] Thunder
09.07.2004 13:27:48 Antal indlæg: 125	Mange tak:) Jeg prøver:) Foresten så har jeg en løsning til jer:) Jeg har tidligere skrevet et indlæg i jeres forum om Explorer (ikke IE) forårsagede en ulovlig handling og lukkede ned. Den lukkede så også alle de ikoner der lå nede ved uret. I hjalp mig med at få renset pc’en for adware og andet snavs, men den blev ved med at lave det nummer. Specielt når man lukkede IE eller bare en mappe. Microsoft har lavet en opdatering til netop dette problem, de har bare ikke broadcasted det nogen steder og det tog ekstremt lang tid at finde den. Jeg har den liggende på min webserver hvor den bliver liggende til tid og evighed men her er et link til Microsoft: Den engelske: http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=49E589AE-2F93-48DC-A39A-C9D98DADA7A5 Den danske: http://www.microsoft.com/downloads/details.aspx?displaylang=da&FamilyID=49E589AE-2F93-48DC-A39A-C9D98DADA7A5 Man kan læse om det her: http://support.microsoft.com/default.aspx?scid=kb;en-us;329692 Med venlig hilsen Jan Johansson PS. Skulle nogen af jer have købt en telefon fra 3 af modellerne Motorola A835 og A920, så pas på. A835 har en tendens til at ringe op af sig selv når den ikke bliver brugt. Det er en fejl der er opstået i SW da den blev oversat fra svensk, så den ligger og ringer til telefonsvaren i Sverige. Deraf vil der være samtaler til Norden, for mange kroner på telefonregningen. Kan kun rettes ved at sende den ind til Teleservice, men I skal underrette 3 først og de kan (som de har gjort med hundredevis af andre) sige at det ikke er deres fejl. I er altid velkomne til at spørge om disse telefoner, da jeg har samlet meget viden sammen om dem og opdateringer samt SW til dem kommer til at ligge på min webserver (gratis).
[ Ignorer ] [ # 7 ] A.Behrendt TeamSpywarefri
09.07.2004 14:27:02 Redaktør Supporter Emeritus Antal indlæg: 25535	Hej Jan Det var da en dejlig oplysning den der. Mange tak for oplysningen, jeg har straks kommet den i gemmerne. [:D] God ferie
[ Ignorer ] [ # 8 ] Thunder
28.07.2004 19:50:15 Antal indlæg: 125	Hej igen og velkommen tilbage fra ferie:) Jeg er desværre stadig ikke kommet af med den DyFuCA som spybot finder:( Håber I har nogle flere råd:) Mvh Jan
[ Ignorer ] [ # 9 ] Andersenph TeamSpywarefri
28.07.2004 23:31:41 Redaktør Supporter Emeritus Antal indlæg: 4797	Hej Jan http://www.mwti.net/download/tools/mwav.exe Denne scanner som Resist linkede til burde tage den. Det har den ihvert fald gjort i et andet tilfælde…. I opsætningen skal du sætte den til at scanne alt.
[ Ignorer ] [ # 10 ] JT TeamSpywarefri
29.07.2004 01:46:31 Antal indlæg: 2249	DyFuCA Siden DyFuCa’s sædvanlige nøgler og filer ikke er, at finde på dit system (jf. de link du nævner i starten) - så er mit gæt, at SpyBot simpelthen tager fejl (Jeg antager, at du søger efter skjulte filer også). Den BandRest nøgle, som SpyBot referere til, er ofte fra DyFuCA. Men kan altså også være fra andet skidt - typisk vira. Muligvis et gammelt spor efter en sådan eller måske et gammelt spor efter et forsøg på inficering fra en sådan. Fakta er dog, at nøglen er der ! Min anbefaling er, som nævnt af bla. Andersenph Supporter, at køre med mwav.exe scanneren. Kør den gerne fra fejlsikret tilstand af. Derudover lister jeg lige et par online virus scannere, som alle burde fange den eller de vira, som evt. er årsag til BandRest nøglen. Pointen er, at alternative scannere i enkelte tilfælde kan hvor andre ikke kan: http://www.pandasoftware.com/activescan/com/default.asp http://www3.ca.com/securityadvisor/virusinfo/scan.aspx http://housecall.antivirus.com/housecall/start_corp.asp Hvis ovenstående ikke kommer fejlen til livs, så slet den BandRest nøgle - til trods for den advarsel du får. Genstart PC og SpyBot bør herefter være tilfreds NB: Og som altid når du arbejder i registreringsdatabasen, bør du tage backup af denne.
[ Ignorer ] [ # 11 ] Thunder
13.08.2004 23:08:39 Antal indlæg: 125	Hej igen, mwav.exe fandt ikke noget så jeg fjernede nøglen som foreslået og det virkede. Mange tak for hjælpen. Mvh Jan Ps. mit tilbud om hjælp til motorola telefoner står stadig ved magt. Jeg kan ikke unlocke dem men en hel del andre sjove ting såsom give råd om hvordan man får flest musik filer presset ned i hukommelsen elle lagt film over på dem:)
[ Ignorer ] [ # 12 ] A.Behrendt TeamSpywarefri
14.08.2004 02:23:53 Redaktør Supporter Emeritus Antal indlæg: 25535	Hej Thunder Der er faktisk en her som har et problem med en mobiltlf. Jeg ved ikke om det lige er noget for dig, men tråden ligger her: http://www.spywarefri.dk/forum/topic.asp?TOPIC_ID=4723
[ Ignorer ] [ # 13 ] Thunder
12.09.2004 17:13:58 Antal indlæg: 125	Hejsa, jeg har kigget på hans problem og det beklager jeg at måtte sige, men den kan jeg ikke greje. Jeg tager mig kun af Motorola telefoner, og for det meste kun SW. Men det kunne lyde som om han har fået det løst på hans Win2000 pc, og så bare skal have det til at køre på sin bærbar. Det betyder at telefonen og kablet ikke fejler noget, men at det enten er W98 eller den SW der følger med telefonen der har et problem i W98. Mange af disse internet opkoblinger fungerer bedst på en Win NT kerne. Jeg fik det på et tidspunkt til at spille sammen med min kones PDA (WinCE 3.0) via IRDA, men har aldrig prøvet at få det til at virke på en W98. Selvom der står at programmet fungerer under W98, behøver det ikke at være sandt. Faktisk anbefaler de mobilfabrikanter jeg har talt med, at man enten bruger Win2000 eller XP, da disse udnytter HW’ren bedre. Når man så gør opmærksom på at der står det kan køre under W98, kan de ikke forklare dette. Mvh Jan
[ Ignorer ] [ # 14 ] A.Behrendt TeamSpywarefri
15.09.2004 04:28:55 Redaktør Supporter Emeritus Antal indlæg: 25535	Ja det er nu ikke alt som fungere under Win98 S Man må følge med tiden. Jeg lukker lige tråden igen efter os. Får du andre problemer, er du velkommen til at oprette nyt spørgsmål.