Irriterende virus. Har prøvd det meste.

[Kadmium]

Ok. Tenkte ikke på at jeg hadde cracket XoftSpy.

[Edmund Blackadder]

Spybot fjernet ikke spywaret..

Heller ikke The cleaner.

 

Her er bildet av det som popper opp som følge av det installerte faenskapet.

[zjulik]

Edmund, kjører du Microsoft Antispyware (ser av loggen din), så kan du vurdere å oppdatere til Windows Defender. Den ligger under Spyware på majorgeeks.com hvis du ikke vil..eh..hente den fra M$

[Edmund Blackadder]

Ja jeg fjernet MS Antispyware nettopp

 

Kan nok ikke installere Windoes Defender av visse grunner *host*.

Jeg har prøvd å laste ned fra majorgeeks, men rett før installeringen sjekker den versjonen uansett, så jeg må nok finne meg en annen løsninge akkurat der

[zjulik]

Beste antispyware-programmet ellers er nok Webroot Spysweeper. Legg inn 30-dagers-demoen og bli kvitt fandenskapet.

Eller kjør gratisscannen deres.

http://www.webroot.com/land/freescan_ent.p...=1&wt.mc_id=417

[Edmund Blackadder]

Nok en gang redder Zjulik maskinen min.

 

Tusen takk... igjen!

[Alastor]

Flyttes fra programvare til sikkerhet.

[Edmund Blackadder]

Nå har noe annet kommet opp, og jeg bare bruker denne tråden.

(Skjønner bare ikke hva som gjør at dette skjer. Jeg bruker internett med noe i knøtten, har en god del gode sikkerhetsprogrammer inkl Avast, Spyware Sweeper,SpywareGuard, ZoneAlarm Firewall, AdAware osv)

 

Det er ting og tang som forandrer homepage i internet explorer, og gir meg diverse popups.

 

Her er startupliste, hijackthis log og Processes.

 

http://www.home.no/knodt/hijackthis.log

 

http://www.home.no/knodt/AutoRuns.txt

[lohelle]

bruk firefox eller opera.. da slipper man unna 99% av spyware...

Har fått større firmaer til å konvertere til Firefox fra IE. De var litt "skeptiske" i starten, men fant raskt ut at surfingen var MINST like enkel med Firefox.

 

En liten "bieffekt" var at man ikke lenger trengte å bruke hele uken til å fjerne spyware fra PC-ene..

[Edmund Blackadder]

Har brukt Opera de siste 5 månedene. Så det er egentlig popupsene som gjør meg gal.

[Edmund Blackadder]

Kommer opp hele tiden og sliter enda.. Har ikke peiling på hva det er.

Uansett hvor mange ganger jeg sletter det med Spy Sweeper så kommer det opp igjen. Har ikke system restore på nei.

[berxter]

Kikket på HJTloggen din; det er en god del som ikke er slik det bør være, men istedet for å detaljtolke den anbefaler jeg at du først bruker HJT til å fikse ALLE 018- innførslene, så går du gjennom hele denne regla:

http://www.wilderssecurity.com/showthread.php?t=50662

istedet for pkt 13 bruker du ccleaner (google).

Etterpå legger du ut en fersk HJTlogg, så kan vi gå detaljert igjennom det evt gjenstående. Legg også ut Panda Activescanloggen (men ikke før ihvertfall ccleaner er kjørt).

 

Bernt K

[zjulik]

Da e no ikkje so hakkande gale. Jeg reagerer, i tillegg til berxterens kommentar, på følgende:

 

O20 - Winlogon Notify: wingdm32 - C:\WINDOWS\SYSTEM32\wingdm32.dll

 

Ser ut til å være virus. Kryss av for fjern, slett fra system32 etterpå (i safe mode hvis det er gjenstridig).

[berxter]

Nei du har rett i det, Zjulik, ikke så hakkande gæli, men jeg henger meg også litt opp i

 

O2 - BHO: Nothing - {b0398eca-0bcd-4645-8261-5e9dc70248d0} - C:\WINDOWS\system32\hpFD08.tmp

og den er jeg rimelig trygg på er bæsj, den kan vi identifisere som Zlob-IK, en SmitFraud/Spyquake osv-sak når jeg søker på CLSIDen.

 

Vet du forresten hva som provoserer Logitech DesktopMessengeren til å produsere så j*vlig mange instanser?

 

Bernt K

[zjulik]

Nope, men denne siden er interessant:

 

http://www.neuber.com/taskmanager/process/...876480.exe.html

(merk at linjen til Adderen er "BWPlugProtocol-8876480.dll" så vi snakker om det samme her).

 

Jeg liker denne: "Backweb, suggest they only monitor keyboard / mouse activity, so they know when the computer is inactive, they claim they don't record key strokes."

 

Spørsmålet blir så om man kan ta bort prosessen og likevel ha messengeren?

[berxter]

Hmm, ja, jeg hadde egentlig ventet bedre av Logitech og de andre. Spesielt bet jeg merke i dette:

 

"Mine apparently loaded with Logitech Desktop Messenger. The Registry contains a huge Backweb section seperate from Logitech. It contains about 157 keys of which 33 mention Logitech"

 

Har sett en del om Backweb ellers, men har bare skummet flyktig over og vel antatt at det har forekommet i forskjellige varianter og ikke vært av den stygge når den har kommet fra Logitech &c. Det spørs da om ikke anbefalingen bør være å kvitte seg med hele LDM, og heller bruke andre IMmetoder. Ser også at ganske mange andre bruker versjoner av BW; HP, IBM, Kodak for å nevne noen, men jeg har ikke sett noe som tyder på at de versjonene gjør annet enn å "hjelpe" med drivere osv.

Det synes dog som Logitechs versjon gjør noe annet og mer; 30-40 instanser av 018er i HJT er ikke noe jeg synes er helt OK...

 

Bernt K

[Kazex]

Slik fjerner du Spyquake!

 

1. Start windows i sikkerhetsmodus, med bare kommandolinja

2. Skriv inn "cd .." , helt til du er i "C:"

3. Skriv inn "cd windows" , for å komme inn i Windows mappa

4. Skriv inn "cd system32" Da er du i undermappa til windows

5. Skriv inn "del ofcukiz.dll"

6. Skru av pcen og start den igjen.

 

 

 

For dere som ikke helt vet hva sikkerhetsmodus er

Slik kommer du inn i sikkerhets modus:

1. Start pcen!

2. Når windows loades, presser du kjapt "F8"(en knapp øverst på tastaturet, over tallene "9 og 0"

3. Da vil en meny poppe opp og da velger du " start pcen i: -sikkerhetsmodus med kommandolinjen"

 

 

Da var nok et verdensproblem løst!

[berxter]

Jaja, dream on... Det var vel egentlig så mange tegn denne fortjente.

 

Bernt K

 

EDIT: Se neden; Zjulik har nå alltid vært diplomaten. Skulle søke seg jobb i UD, skulle han.

Endret 13. juni 2006 av berxter

[zjulik]

5. Skriv inn "del ofcukiz.dll"

 

For oss som har sett noen infeksjoner - navnet "ofcukiz.dll" er tilfeldig generert av viruset og betyr at Kazex sannsynligvis kanskje er den eneste som har funnet en fil med akkurat dette navnet. En million andre brukere med tilsvarende smitte vil ha fil(er) med en million andre navn, hvorav de færreste er like.

 

Dette finner man fort ut ved å google filnavnet. Får du ingen treff, er sjansen temmelig nær 100% for at navnet er generert av viruset der og da.

Hvorfor? Fordi det ikke skal være så enkelt som Kazex beskriver å lage en rense-oppskrift.

Har du slettet nettop den filen, vil du med rimelig sikkerhet oppdage at ved neste omstart, er filen der igjen med et annet navn.

 

En annen ting er at Spyquake for det første legger seg som smitte på mange flere steder enn bare én fil - og for det andre, at Spyquake har mange kloner som har andre typer mønstre.

 

Vær så snill å tilegn deg litt mer kunnskap før du poster, slik at ikke andre lures til å tro at det er så enkelt.

Endret 13. juni 2006 av zjulik

[sindrejibb]

Ifølge SmitfraudFix-siden er dette SpywareQuake:

*Bilde fjernet*

 

Og det er vel samme som det du får opp. Så da er det oppklart ihvertfall. Hva med å kjøre en SmitfraudFix, og legge ut en HijackThis-logg etterpå?

Kjør CCleaner hele tiden! Mellom alt du gjør, dag og natt. CCleaner er genialt, og kan ikke brukes for mye

 

Hadde noe tilsvarende selv. Gjorde dette, og det ble borte!

 

EDIT: Oj, du hadde fått fjernet SpywareQuake, ja. Var noe annet nå

Sorry.

Endret 14. juni 2006 av sindrejibb