Borttagning av skum länk?

23 juli, 2005

Hej!

Detta är mitt första inlägg och jag undrar om någon kan berätta hur man tar bort en genväg med namnet Ulubione strony från skrivbordet och det tillhörande programmet som ligger någonstans i datorn. När jag bara försöker ta bort det från skrivbordet så läggs det automatiskt tillbaka när jag åter slår på datorn igen. Något mer grundligt sätt krävs och det är det jag skulle vilja ha hjälp med. Bokmärket pekar till följande adress som verkar gå till någon östeuropeisk porrsajt:

http://www.centrum.erotykon.pl/bonus.html

Jag vet inte hur detta program/spyware hamnade här och nu har det legat där snart ett år men jag skulle verkligen vilja få bort det. Jag sitter på en PC med Windows XP.

Mvh Stefan

23 juli, 2005

Testa Microsofts egna AntriSpyware program. Det bästa av alla:

http://www.microsoft.com/athome/security/spyware/software/default.mspx

Sen kan du köra med programmet HiJack This:

http://www.download.com/HijackThis/3000-8022_4-10379544.html?tag=lst-3-1)

Och AdAware:

http://www.download.com/Ad-Aware-SE-Personal-Edition/3000-8022_4-10399602.html?tag=lst-0-1

Sen om det inte funkar kan du kolla den här trråden. Jag hade liknande problem för ett tag sen:

http://www.eforum.idg.se/viewmsg.asp?EntriesId=693962

Hoppas det hjälper.

24 juli, 2005

Gällande HijackThis så gör du så här:

Kör, skanna och spara loggen, gör inget annat.

I ditt svar här så bifogar du loggen på detta sätt:

Tryck på LOG-knappen i Besvara-fönstret

Klistra in loggen

Tryck igen på LOG-knappen

Eftersom alla otrevlighet ser lite olika ut så går det nog inte att följa någon annnan tråd om en annan otrevlighet.

3 oktober, 2005

Hej Cecilia, nu har jag lyckats få tid till och lyckats fixa fram loggen över min dators processer. Kan du hitta något skumt och jag tänker då främst på det min första fråga gällde om den östeuropeiska porrsajten Uliobione? Tack på förhand / Stefan

[log]Logfile of HijackThis v1.99.1

Scan saved at 20:40:42, on 2005-10-03

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\System32\CTsvcCDA.exe

C:\Program\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe

C:\Program\Delade filer\Microsoft Shared\VS7Debug\mdm.exe

C:\Program\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\DSentry.exe

C:\Program\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe

C:\WINDOWS\pulpit.exe

C:\Program\SYMANT~1\SYMANT~1\vptray.exe

C:\Program\Delade filer\Real\Update_OB\realsched.exe

C:\Program\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

C:\Program\Creative\SBLive\Diagnostics\diagent.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program\Internet Explorer\iexplore.exe

C:\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://approvedlinks.com/sp2.htm'>http://approvedlinks.com/sp2.htm'>http://approvedlinks.com/sp2.htm'>http://approvedlinks.com/sp2.htm

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/se/sve/gen/default.htm'>http://www.euro.dell.com/countries/se/sve/gen/default.htm'>http://www.euro.dell.com/countries/se/sve/gen/default.htm

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://approvedlinks.com/sp2.htm

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://approvedlinks.com/sp2.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://webmail.hgu.gu.se/exchweb/bin/auth/owalogon.asp?url=https://webmail.hgu.gu.se/&reason=0

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/se/sve/gen/default.htm

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/countries/se/sve/gen/default.htm

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://approvedlinks.com/sp2.htm

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://approvedlinks.com/index2.htm?t=1050278138&url=http://approvedlinks.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [diagent] C:\Program\Creative\SBLive\Diagnostics\diagent.exe startup

O4 - HKLM\..\Run: [updReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe

O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [DesktopProfile] C:\WINDOWS\pulpit.exe ukrt

O4 - HKLM\..\Run: [vptray] C:\Program\SYMANT~1\SYMANT~1\vptray.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program\Delade filer\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program\Messenger\msmsgs.exe" /background

O4 - Global Startup: Acrobat Assistant.lnk = C:\Program\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program\Delade filer\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program\Delade filer\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\Program\MICROS~3\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O16 - DPF: {11173A45-F465-11D1-BB8C-00104B4F376D} (PROJEKTPLATSEN.SE DnD) - https://projectplace.com/ppo/ppax.cab

O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20021126/qtinstall.info.apple.com/sikes/se/win/QuickTimeInstaller.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{CE77C58C-EAC7-4604-BFB2-459E4183A3E2}: Domain = ros.sgsnet.se

O17 - HKLM\System\CCS\Services\Tcpip\..\{CE77C58C-EAC7-4604-BFB2-459E4183A3E2}: NameServer = 193.11.224.20,193.11.224.21

O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe

O23 - Service: DefWatch - Symantec Corporation - C:\Program\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe

O23 - Service: Intel® NMS (NMSSvc) - Intel Corporation - C:\WINDOWS\System32\NMSSvc.exe

O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe

[/log]

4 oktober, 2005

Bättre sent än aldrig. Men jag hoppas att du fixar nedanstående snart innan det blir mer.

Var säker på att du förstår allt nedan innan du fortsätter, fråga annars.

För att du inte ska råka återställa datorn till ett läge med dessa och tidigare otrevligheter i så bör du ta bort alla systemåterställningspunkter genom att avaktivera systemåterställningsfunktionen.

Den här datorn - högerklick - Egenskaper - Systemåterställning

Funktionen ska sedan sättas på när datorn är ren.

Ange filen C:\WINDOWS\system32\ctfmon.exe på denna webbplats:

http://virusscan.jotti.org/

Kopiera in resultatet i ditt svar om något hittades.

Dra ur internetanslutningen.

Kontrollpanelen - Lägg till och ta bort program

Om Connect eller Dialer.Connect finns med i listan så ta bort.

Ladda hem CWShredder:

http://www.intermute.com/products/cwshredder.html

Stäng av alla webbläsarfönster och epostprogram innan du kör programmet och låter det fixa de problem det hittar.

Dra ur internetanslutningen igen.

[log]Kör HijackThis och skanna. Bocka för dessa rader (om de finns kvar):

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://approvedlinks.com/sp2.htm'>http://approvedlinks.com/sp2.htm'>http://approvedlinks.com/sp2.htm'>http://approvedlinks.com/sp2.htm

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://approvedlinks.com/sp2.htm

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://approvedlinks.com/sp2.htm

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://approvedlinks.com/sp2.htm

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://approvedlinks.com/index2.htm?t=1050278138&url=http://a

pprovedlinks.com/

O4 - HKLM\..\Run: [DesktopProfile] C:\WINDOWS\pulpit.exe ukrt

Avsluta alla program och fönster förutom HijackThis.

Tryck på Fix checked.

Starta om i felsäkert läge (F8 upprepade gånger under uppstarten).

Ställ in Utforskaren så att du kan se alla filer:

Verktyg - (Mapp)alternativ eller liknande - Visning

Välj Visa dolda filer och mappar

Avbocka Dölj filnamnstillägg för kända filtyper

Avbocka Dölj skyddade operativsystemfiler

Ta bort filen:

C:\WINDOWS\pulpit.exe

Starta om datorn i normalt läge och ta ut en ny HijackThis-logg.

I ditt svar skriver du hur det har gått och klistrar in loggen.[/log]

22 oktober, 2005

Hej Ceclia,

Nu har jag fixat allt som du så tydligt skrev om och har sedan kört HiJackThis igen. Du ser loggen nedan. Allt verkar väl ok. Återkom igen om du ser något annan skumt.

STORT TACK FÖR DIN HJÄLP!

Mvh Stefan

[log]

Logfile of HijackThis v1.99.1

Scan saved at 15:27:01, on 2005-10-22

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\System32\CTsvcCDA.exe

C:\Program\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe

C:\Program\Delade filer\Microsoft Shared\VS7Debug\mdm.exe

C:\Program\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\System32\DSentry.exe

C:\Program\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe

C:\Program\SYMANT~1\SYMANT~1\vptray.exe

C:\Program\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

C:\Program\Creative\SBLive\Diagnostics\diagent.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Nedladdade filer under C\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/se/sve/gen/default.htm'>http://www.euro.dell.com/countries/se/sve/gen/default.htm'>http://www.euro.dell.com/countries/se/sve/gen/default.htm'>http://www.euro.dell.com/countries/se/sve/gen/default.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/countries/se/sve/gen/default.htm

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/se/sve/gen/default.htm

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/countries/se/sve/gen/default.htm

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://virusscan.jotti.org/