Alle google-søk-lenker redirectes tilbake til google via en "search"-side

[Programvare]

Morn morn

 

Har greid å pådra meg noe dritt på Windows 7 rc build 7100.

 

Hver gang jeg søker på google (uavhengig av nettleser) og trykker på en lenke jeg har søkt på blir jeg sendt til en blank side og url-en viser "http://taylorsquickfind.com/?q=søkeord" før den hopper til google fort. Så jeg har prøvd å fjerne det meste av rusk jeg kan med hijackthis, mbam og smitfraudfix, (combofix kjører ikke på w7) men problemet er stadig der. Det er lenge siden det begynte så får ikke muligheten til å ta en "system restore". Lenge siden jeg har drevet med fjerning av slikt så glemmer kunstene til dels, og søker dermed hjelp her.

 

HJT

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:21:27, on 17.09.2009

Platform: Unknown Windows (WinNT 6.01.3004)

MSIE: Internet Explorer v8.00 (8.00.7100.0000)

Boot mode: Normal

 

Running processes:

C:\Windows\system32\taskhost.exe

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Program Files\Logitech\SetPoint\SetPoint.exe

C:\Program Files\PowerMenu\PowerMenu.exe

C:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE

C:\Program Files\Pidgin\pidgin.exe

C:\Program Files\MediaMonkey\MediaMonkey.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Users\Chris\Documents\HWMonitor.exe

C:\Windows\system32\wuauclt.exe

C:\Program Files\Opera\opera.exe

C:\PROGRA~1\FOXITS~1\FOXITR~1\FOXITR~1.EXE

C:\Program Files\Spotify\spotify.exe

C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: Påloggingshjelp for Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')

O4 - Startup: PowerMenu.lnk = C:\Program Files\PowerMenu\PowerMenu.exe

O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe

O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL

O13 - Gopher Prefix:

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: AST Service (astcc) - Nalpeiron Ltd. - C:\Windows\system32\ASTSRV.EXE

O23 - Service: Bonjour-tjeneste (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: iPod-tjeneste (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\Logishrd\Bluetooth\LBTServ.exe

O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe

O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe

O23 - Service: SecureSrv - My Privacy Tools, Inc. - C:\Program Files\Hide My IP 2009\SecureSrv.exe

O23 - Service: TeamViewer 4 (TeamViewer4) - TeamViewer GmbH - C:\Program Files\TeamViewer\Version4\TeamViewer_Service.exe

O23 - Service: VMware Agent Service (ufad-ws60) - VMware, Inc. - C:\Program Files\VMware\VMware Workstation\vmware-ufad.exe

O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Program Files\VMware\VMware Workstation\vmware-authd.exe

O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\Windows\system32\vmnetdhcp.exe

O23 - Service: VMware NAT Service - VMware, Inc. - C:\Windows\system32\vmnat.exe

 

--

End of file - 4137 bytes

 

 

 

Mbam

 

Malwarebytes' Anti-Malware 1.36

Databaseversjon: 2142

Windows 6.1.7100

 

17.09.2009 21:24:21

mbam-log-2009-09-17 (21-24-21).txt

 

Skanntype: Rask Skann

Objekter skannet: 71353

Tid tilbakelagt: 4 minute(s), 22 second(s)

 

Minneprosesser infisert: 0

Minnemoduler infisert: 0

Registernøkler infisert: 0

Registerverdier infisert: 0

Registerfiler infisert: 0

Mapper infisert: 0

Filer infisert: 0

 

Minneprosesser infisert:

(Ingen mistenkelige filer funnet)

 

Minnemoduler infisert:

(Ingen mistenkelige filer funnet)

 

Registernøkler infisert:

(Ingen mistenkelige filer funnet)

 

Registerverdier infisert:

(Ingen mistenkelige filer funnet)

 

Registerfiler infisert:

(Ingen mistenkelige filer funnet)

 

Mapper infisert:

(Ingen mistenkelige filer funnet)

 

Filer infisert:

(Ingen mistenkelige filer funnet)

 

 

 

Takk for all hjelp som er å få.

[norbat]

Se om du får laget en logg med følgende prog: rsit.exe

 

Sjekk samtidig om HOSTS-fila di er ren. Du bør finne fila på følgende sti: C:\Windows\System32\drivers\etc

 

NB! Oppdater MBAM og kjør en ny rask skann!

Endret 17. september 2009 av norbat

[Programvare]

Fikk en noe spesiell feilmelding fra rsit.exe

 

AutoIt Error

 

Line -1:

 

Error: Variable used without being declared.

 

 

Hostsfila viser masse rart. Glemte kanskje å nevne at jeg også prøvde spybot.

 

127.0.0.1 NtKrnlpa.cn

#com

# Start of entries inserted by Spybot - Search & Destroy

127.0.0.1 www.007guard.com

127.0.0.1 007guard.com

127.0.0.1 008i.com

 

Og hauger med slike merkelige sider nedover og avsluttes med

 

# This list is Copyright 2000-2008 Safer Networking Limited

# End of entries inserted by Spybot - Search & Destroy

Endret 17. september 2009 av Programvare

[norbat]

Ok,

da kjører tydeligvis ikke scanneren på win7

 

Hostfila er nok full av oppføringer langt inn av Spybot. Det er greit. Spm. er om det ligger noen oppføringer der som skiller seg ut fra de som er langt inn av Spybot (Spybot sine starter med 127.0.0.1)

 

Fortsett med ny skann med MBAM etter at du har oppdatert programmet.

[Programvare]

Var ingenting som skilte seg ut i filen.

 

Her er nyeste mbam-logg som tydeligvis fant noe

 

 

Malwarebytes' Anti-Malware 1.41

Databaseversjon: 2817

Windows 6.1.7100

 

17.09.2009 22:04:51

mbam-log-2009-09-17 (22-04-45).txt

 

Skanntype: Rask Skann

Objekter skannet: 85601

Tid tilbakelagt: 5 minute(s), 8 second(s)

 

Minneprosesser infisert: 0

Minnemoduler infisert: 2

Registernøkler infisert: 8

Registerverdier infisert: 12

Registerfiler infisert: 0

Mapper infisert: 2

Filer infisert: 24

 

Minneprosesser infisert:

(Ingen mistenkelige filer funnet)

 

Minnemoduler infisert:

c:\program files\driver\driver.dll (Trojan.Agent) -> No action taken.

c:\Windows\System32\evdoserver.dll (Trojan.Agent) -> No action taken.

 

Registernøkler infisert:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\driver (Trojan.Agent) -> No action taken.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\driver (Trojan.Agent) -> No action taken.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\driver (Trojan.Agent) -> No action taken.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\evdoserver (Trojan.Agent) -> No action taken.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\evdoserver (Trojan.Agent) -> No action taken.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\evdoserver (Trojan.Agent) -> No action taken.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\driverdrv (Trojan.Downloader) -> No action taken.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\sofatnet (Backdoor.Bot) -> No action taken.

 

Registerverdier infisert:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\BuildW (Malware.Trace) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\FirstInstallFlag (Malware.Trace) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\guid (Malware.Trace) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\i (Malware.Trace) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\mEv (Malware.Trace) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\mms (Malware.Trace) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\mso (Malware.Trace) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\uid (Malware.Trace) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\Ulrn (Malware.Trace) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\Update (Malware.Trace) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\UpdateNew (Malware.Trace) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\driver (Trojan.Agent) -> No action taken.

 

Registerfiler infisert:

(Ingen mistenkelige filer funnet)

 

Mapper infisert:

C:\Users\Chris\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Protection System (Rogue.ProtectionSystem) -> No action taken.

C:\Windows\System32\3361 (Trojan.Downloader) -> No action taken.

 

Filer infisert:

c:\program files\driver\driver.dll (Trojan.Agent) -> No action taken.

c:\Windows\System32\evdoserver.dll (Trojan.Agent) -> No action taken.

C:\Windows\System32\tcpd.exe (Trojan.Agent) -> No action taken.

C:\Windows\System32\msncache.dllx (Trojan.Agent) -> No action taken.

C:\Windows\Temp\VRTAD04.tmp (Malware.Tool) -> No action taken.

C:\Users\Chris\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Protection System\Live Support.lnk (Rogue.ProtectionSystem) -> No action taken.

C:\Users\Chris\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Protection System\Protection System.lnk (Rogue.ProtectionSystem) -> No action taken.

C:\Users\Chris\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Protection System\Uninstall.lnk (Rogue.ProtectionSystem) -> No action taken.

C:\Windows\System32\3361\mlog (Trojan.Downloader) -> No action taken.

C:\Program Files\driver\driver.sys (Trojan.Downloader) -> No action taken.

C:\Windows\System32\fhpatch.dll (Malware.Trace) -> No action taken.

C:\Windows\System32\iphy.dll (Malware.Trace) -> No action taken.

C:\Windows\System32\Packer.dll (Trojan.Agent) -> No action taken.

C:\Windows\System32\tpsaxyd.exe (Backdoor.Bot) -> No action taken.

C:\Windows\System32\wiawow32.sys (Backdoor.Bot) -> No action taken.

C:\Windows\System32\wiwow64.exe (Backdoor.Bot) -> No action taken.

C:\Windows\System32\wtukd32.exe (Backdoor.Bot) -> No action taken.

C:\Windows10112010146118114.lso (Worm.KoobFace) -> No action taken.

C:\Windows101120101464849.lso (Worm.KoobFace) -> No action taken.

C:\Windows101120101464853.lso (Worm.KoobFace) -> No action taken.

C:\Windows\934fdfg34fgjf23 (Worm.KoobFace) -> No action taken.

C:\Windows\sc.exe (Trojan.FakeAlert) -> No action taken.

C:\Windows\soc_1248512092.exe (Worm.KoobFace) -> No action taken.

C:\Windows\th823567.dat (Worm.KoobFace) -> No action taken.

 

 

 

Skal jeg bare reboote og få fjerna rusket og så komme med en ny logg?

 

EDIT:

 

Og vips fjerna jeg rusket, rebootet og linkene jeg fkatisk trykker på kommer opp når jeg trykker på de i google. Var vel ikke værre enn det.

 

Takk for din bistand norbat.

Endret 17. september 2009 av Programvare

[norbat]

Bare hyggelig