Hej hasse3 og velkommen til Spywarefri

Hent og gem denne scanner, du skal bruge den senere.
http://www.spywareinfo.dk/download/mwav.exe  - Kaspersky Virusscanner.

Kør en scanning med Hijackthis, så du kan se alle filer.
Du får herunder nogle filer, som du skal fixe. Det, du skal gøre, er at sætte et flueben ud for disse filer. Når du har gjort det, så lukker du alle andre vinduer ned. Det er meget vigtigt at det eneste vindue, som er åbent er HijackThis vinduet. Husk også at lukke dette vindue, når du har markeret filerne. Nu må du fixe. Klik på Fix checked.

Det er disse, som skal fixes:

R1 - HKCU/Software/Microsoft/Internet Explorer/SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com
R0 - HKCU/Software/Microsoft/Internet Explorer/Toolbar,LinksFolderName =

O4 - HKCU/../Run: [gcdef] C:/WINDOWS/System32/gcdef.exe
O4 - HKCU/../Run: [rpcrt4] C:/WINDOWS/System32/rpcrt4.exe
—————————————————————————————————-
Disse er unødvendige at have liggende i din opstart, da de alle kan nås via startprogrammer. De ligger bare og ”sluger” computerens kræfter.
Du kan Fjerne vingen til venstre for følgende programmer, hvis du ønsker det:
Start
Kør
Skriv: msconfig
Ok
Fanebladet start

O4 - HKLM/../Run: [NvCplDaemon] RUNDLL32.EXE C:/WINDOWS/System32/NvCpl.dll,NvStartup
O4 - HKLM/../Run: [nwiz] nwiz.exe /install
O4 - HKLM/../Run: [SoundMan] SOUNDMAN.EXE

Genstart, du får en advarsel om, at start er lavet om. Sig ok til det, og fjern flueben i vis denne advarsel.
—————————————————————————————————-

For at kunne se alle filer og mapper, så følg denne vejledning:
Åbn en mappe, klik på Funktioner >Mappeindstillinger >Vis.
Fjern flueben ved “Skjul beskyttede operativsystemfiler”.
Fjern flueben ved “Skjul filtypenavne for kendte filtyper”.
Sæt prik i “Vis skjulte filer og mapper”.

Genstart i fejlsikret tilstand søg og slet det med fed:
C:/WINDOWS/System32/gcdef.exe
C:/WINDOWS/System32/rpcrt4.exe

Genstart din computer.
Hent og Installer ”Ad-Aware hvis du da ikke har det i forvejen SE version 1.05”  (Bemærk ny version)
http://www.download.com/3000-2144-10045910.html?part=69274&subj=dlpage&tag=button
Lad den opdatere sine spywaredefinitioner og kør så en scan (Perform Full System Scan). Efter den har renset hvad den finder, genstart din computer.

Så kører du engangsskanneren fra Kaspersky – Stadig fra fejlsikret tilstand. Klik på den fil du har hentet: mwav.exe og programmet pakker sig selv ud og starter.
Sæt flueben i følgende:
Memory, Startup folders, drive, Registry, System folders  og Services.
Sæt prik i følgende:
All local drives  og Scan all files

Klik på scan.

Denne scanning kan godt tage et par timer alt efter hvor meget du har liggende på din computer.

Når scanningen er færdig, og har slettet dine evt. virus.  Klik på Ok. Klik på exit, klik på exit igen, hvis du ikke ønsker at købe programmet.

Tip: du skal ikke klikke på Add to Startup folders så scannes din maskine hver gang du starter Windows op.

Genstart din computer, kør en ny scanning med HijackThis, kopier en ny log herind til tjek.

Så er alt lavet der er fjernet en masse virusser ¨åber min log er clean

Logfile of HijackThis v1.98.2
Scan saved at 15:23:54, on 31-10-2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:/WINDOWS/System32/smss.exe
C:/WINDOWS/system32/winlogon.exe
C:/WINDOWS/system32/services.exe
C:/WINDOWS/system32/lsass.exe
C:/WINDOWS/system32/svchost.exe
C:/WINDOWS/System32/svchost.exe
C:/Programmer/Fælles filer/Symantec Shared/ccSetMgr.exe
C:/WINDOWS/Explorer.EXE
C:/Programmer/Fælles filer/Symantec Shared/ccEvtMgr.exe
C:/WINDOWS/system32/spoolsv.exe
C:/Programmer/Fælles filer/Symantec Shared/ccApp.exe
C:/Programmer/Fælles filer/Symantec Shared/Security Center/UsrPrmpt.exe
C:/WINDOWS/System32/ctfmon.exe
C:/Programmer/Messenger/msmsgs.exe
C:/Programmer/Norton AntiVirus/navapsvc.exe
C:/WINDOWS/System32/nvsvc32.exe
C:/Programmer/Norton AntiVirus/SAVScan.exe
C:/Documents and Settings/Hasse Jensen/Skrivebord/hijackthis.exe
C:/Programmer/Symantec/LiveUpdate/ALUNOTIFY.EXE

R0 - HKCU/Software/Microsoft/Internet Explorer/Main,Start Page = http://www.jubii.dk/
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:/Programmer/Norton AntiVirus/NavShExt.dll
O3 - Toolbar: &Radio; - {8E718888-423F-11D2-876E-00A0C9082467} - C:/WINDOWS/System32/msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:/Programmer/Norton AntiVirus/NavShExt.dll
O4 - HKLM/../Run: [NvMediaCenter] RUNDLL32.EXE C:/WINDOWS/System32/NvMcTray.dll,NvTaskbarInit
O4 - HKLM/../Run: [ccApp] “C:/Programmer/Fælles filer/Symantec Shared/ccApp.exe”
O4 - HKLM/../Run: [SSC_UserPrompt] C:/Programmer/Fælles filer/Symantec Shared/Security Center/UsrPrmpt.exe
O4 - HKLM/../Run: [NvCplDaemon] RUNDLL32.EXE C:/WINDOWS/System32/NvCpl.dll,NvStartup
O4 - HKCU/../Run: [CTFMON.EXE] C:/WINDOWS/System32/ctfmon.exe
O4 - HKCU/../Run: [MSMSGS] “C:/Programmer/Messenger/msmsgs.exe” /background
O4 - HKCU/../Run: [Steam] “d:/valve/steam/steam.exe” -silent
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093183616093
O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/7/532/6712/6c5b0a1ae398e3/player.virtools.com/downloads/player/Install2.5/Installer.exe

Hasse

Så er din log ren, du skal lige deaktivere systemgendannelse, genstarte og genaktivere den samt sætte filvisning til normal.
http://spywarefri.dk/virusscannere.htm#alle - systemgendannelse.
For at holde den ren kan du kigge på vores pakke til formålet.
http://www.spywarefri.dk/pakken.htm
http://fromsej.dk/html/avoid.html
Som minimum anbefaler jeg Spywareguard, Spywareblaster, IE-Spyad og IE Privacy Keeper.
Men du mangler servicepack 1 eller 2, uden en af dem, samt et fuld opdateret windows, er du utrolig sårbar.
Hent og installer Servicepack 1 og Hotfixpakken her:
http://intern.sdu.dk/it-service/tjenester/ftphotel/ftpindhold/ servicepacks + IE
http://www.microsoft.com/downloads/details.aspx?FamilyId=D531BF00-D7BE-48E3-ABCC-961602BD72C2&displaylang=da - Hotfixes efter SP1 til XP.

Opdater så online hos Microsoft.
Mvh:
Fromsej/Team Spywarefri.