madammim Skrevet 12. desember 2012 Del Skrevet 12. desember 2012 Hei. Har en eldre XP-maskin som ser ut til å ha blitt infisert av en browser hijacker. Har google søk som startside, og når jeg bruker denne til å søke med så finner den sidene/linkene, men alle disse linkene vil sende meg til ei helt annen side. Ofte er det ihavenet.com, men det er også andre. Når jeg søker på "remove ihavenet.com" så ser det ut til å være et kjent virus. Jeg finner flere oppskrifter for å fjerne dette, men alle fordrer at "random.exe" kjører, noe den ikke gjør på min maskin. Dette gjelder både IE, FF og Chrome. Kjører MSE, men den ser ut til å ha blitt disablet. Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 08:51:27, on 12.12.2012 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\rundll32.exe C:\Programfiler\IVT Corporation\BlueSoleil\BTNtService.exe C:\Programfiler\D-Link\DWA-140 revB\ANIWZCSdS.exe C:\Programfiler\D-Link\DWA-140 revB\ANIWConnService.exe C:\Programfiler\Java\jre6\bin\jqs.exe C:\Programfiler\Spybot - Search & Destroy 2\SDFSSvc.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\system32\svchost.exe C:\Programfiler\Spybot - Search & Destroy 2\SDUpdSvc.exe C:\Programfiler\Spybot - Search & Destroy 2\SDUpdate.exe C:\WINDOWS\system32\Rundll32.exe C:\Programfiler\Notebook Hardware Control\nhc.exe C:\Programfiler\Fellesfiler\Java\Java Update\jusched.exe C:\Programfiler\Spybot - Search & Destroy 2\SDTray.exe C:\WINDOWS\system32\ctfmon.exe C:\Programfiler\VoipDiscount.com\VoipDiscount\VoipDiscount.exe C:\Programfiler\Messenger\msmsgs.exe C:\Programfiler\IVT Corporation\BlueSoleil\BlueSoleil.exe C:\WINDOWS\System32\svchost.exe C:\Programfiler\OpenOffice.org 3\program\soffice.exe C:\Programfiler\OpenOffice.org 3\program\soffice.bin C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\Programfiler\Mozilla Firefox\firefox.exe C:\Programfiler\Mozilla Firefox\plugin-container.exe C:\Programfiler\Mozilla Firefox\plugin-container.exe C:\Documents and Settings\stua\Mine dokumenter\Nedlastinger\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.no/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koblinger O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programfiler\Spybot - Search & Destroy 2\SDHelper.dll O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programfiler\Java\jre6\bin\ssv.dll O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programfiler\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programfiler\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O2 - BHO: SimpleAdblock Class - {FFCB3198-32F3-4E8B-9539-4324694ED664} - C:\Programfiler\Fellesfiler\Simple Adblock\SimpleAdblock.dll O4 - HKLM\..\Run: [siSPower] Rundll32.exe SiSPower.dll,ModeAgent O4 - HKLM\..\Run: [NotebookHardwareControl] "C:\Programfiler\Notebook Hardware Control\nhc.exe" -quiet O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Programfiler\Fellesfiler\Java\Java Update\jusched.exe" O4 - HKLM\..\Run: [MSC] "c:\Programfiler\Microsoft Security Client\msseces.exe" -hide -runkey O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programfiler\Brother\ControlCenter2\brctrcen.exe /autorun O4 - HKLM\..\Run: [sDTray] "C:\Programfiler\Spybot - Search & Destroy 2\SDTray.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [VoipDiscount] "C:\Programfiler\VoipDiscount.com\VoipDiscount\VoipDiscount.exe" -nosplash -minimized O4 - HKCU\..\Run: [MSMSGS] "C:\Programfiler\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\stua\Lokale innstillinger\Programdata\Google\Update\GoogleUpdate.exe" /c O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKAL TJENESTE') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETTVERKSTJENESTE') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: OpenOffice.org 3.3.lnk = C:\Programfiler\OpenOffice.org 3\program\quickstart.exe O4 - Global Startup: BlueSoleil.lnk = C:\Programfiler\IVT Corporation\BlueSoleil\BlueSoleil.exe O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programfiler\Spybot - Search & Destroy 2\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programfiler\Spybot - Search & Destroy 2\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1310829115828 O17 - HKLM\System\CCS\Services\Tcpip\..\{AC3EB6CC-0AF0-4501-B731-3BCD50A161A3}: NameServer = 192.168.50.57 O17 - HKLM\System\CCS\Services\Tcpip\..\{B9E862DA-9AA7-4DD9-9FAF-CD413917D155}: NameServer = 192.168.1.100 O20 - Winlogon Notify: SDWinLogon - SDWinLogon.dll (file missing) O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programfiler\IVT Corporation\BlueSoleil\BTNtService.exe O23 - Service: D-Link Wireless N DWA-140 Service (D-Link Wireless N DWA-140) - Wireless Service - C:\Programfiler\D-Link\DWA-140 revB\ANIWZCSdS.exe O23 - Service: D-Link Wireless N DWA-140_WPS Service (D-Link Wireless N DWA-140_WPS) - Unknown owner - C:\Programfiler\D-Link\DWA-140 revB\ANIWConnService.exe O23 - Service: Google-oppdatering-tjenesten (gupdate) (gupdate) - Google Inc. - C:\Programfiler\Google\Update\GoogleUpdate.exe O23 - Service: Google-oppdatering-tjenesten (gupdatem) (gupdatem) - Google Inc. - C:\Programfiler\Google\Update\GoogleUpdate.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programfiler\Java\jre6\bin\jqs.exe O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Programfiler\Mozilla Maintenance Service\maintenanceservice.exe O23 - Service: Spybot-S&D 2 Scanner Service (SDScannerService) - Safer-Networking Ltd. - C:\Programfiler\Spybot - Search & Destroy 2\SDFSSvc.exe O23 - Service: Spybot-S&D 2 Updating Service (SDUpdateService) - Safer-Networking Ltd. - C:\Programfiler\Spybot - Search & Destroy 2\SDUpdSvc.exe O23 - Service: Spybot-S&D 2 Security Center Service (SDWSCService) - Safer-Networking Ltd. - C:\Programfiler\Spybot - Search & Destroy 2\SDWSCSvc.exe O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe -- End of file - 7768 bytes Lenke til kommentar
Dr.Geek Skrevet 12. desember 2012 Del Skrevet 12. desember 2012 Hai, kjør scan med disse scannene og slett alle funn og post loggene: http://www.malwarebytes.org/products/malwarebytes_free/ (free) Fullscan http://support.kaspersky.com/5350 Lenke til kommentar
madammim Skrevet 12. desember 2012 Forfatter Del Skrevet 12. desember 2012 (endret) Takk for at du tar deg tid Ingen av disse ser ut til å finne noe som helst. Kjørte Spyboot 2 i går kveld, og den fant masse. Selv etter 3 runder fant den ting, så antok at den ikke fikk fjernet alt den fant... Malewarebyte: Malwarebytes Anti-Malware (Prøveversjon) 1.65.1.1000 www.malwarebytes.org Databaseversjon: v2012.12.12.08 Windows XP Service Pack 3 x86 NTFS Internet Explorer 8.0.6001.18702 stua :: STUEPC-5D140CB6 [administrator] Beskyttelse: Aktivert 12.12.2012 17:51:32 mbam-log-2012-12-12 (17-51-32).txt Skanntype: Full skann (C:\|E:\|) Aktiverte skanningsinnstillinger: Minne | Oppstart | Register | Filsystem | Heuristikk/Ekstra | Heuristikk/Shuriken | PUP | PUM Deaktiverte skanninnstillinger: P2P Objekter skannet: 264912 Tid tilbakelagt: 27 minutt(er), 2 sekund(er) Minneprosesser oppdaget: 0 (Ingen skadelige objekter funnet) Minnemoduler oppdaget: 0 (Ingen skadelige objekter funnet) Registernøkler oppdaget: 0 (Ingen skadelige objekter funnet) Registerverdier oppdaget: 0 (Ingen skadelige objekter funnet) Registerfiler oppdaget: 0 (Ingen skadelige objekter funnet) Mapper oppdaget: 0 (Ingen skadelige objekter funnet) Filer oppdaget 0 (Ingen skadelige objekter funnet) (klar) Kaspersky: EDIT: Laget en txt-fil som jeg legger ved. Kapersky.txt Endret 13. desember 2012 av madammim Lenke til kommentar
madammim Skrevet 12. desember 2012 Forfatter Del Skrevet 12. desember 2012 Nå ser det ut til at dette kun oppstår i IE og ikke i de andre nettleserne. Har slettet loggene, og når jeg søker "hardware.no" på min www.google.no- startside så finner den jo det, men når jeg klikket på linken så havnet jeg (denne gangen) på http://bryllupmenyplan.com/result.php?y=24626904&r=c%3EZoK6cHy2dH2mcomxcHGvMnOwcR%3E%3E%27f%3Eop%3Cop%3C66%3C2%3C2%3C35737%3A15%3Ctuzmf2%6066%2Fdtt%3C3%3Cjoufsdptnpt%60bggjmjbuf%6032%60e3s%60efsq%3Cepnbjobqqt4295%3A%3Cepnbjobqqt4295%3A%3C57314%3A2%3C29768%3Cdmfbo%3C%3Czbipp%3C%27jqvb%60je%3E83698e175g6bfdd5e%3Af93e9be7e4781d%27enybsht%3Eg1%3Ab%3A5952374442e15919548g97%3A56fb&Keywords=brudekjoler haugesund&rd=3 Merkelig Lenke til kommentar
Dr.Geek Skrevet 12. desember 2012 Del Skrevet 12. desember 2012 Hai, det er ingen tegn på Malware i loggene. Spybot fant sikkert såkalte cookies som ikke er skadelig i seg selv. Jeg trenger mer info for å kunne hjelpe deg videre: Last ned OTL.exe og lag en log som beskrevet her under Step 2: http://www.geekstogo.com/forum/topic/2852-malware-and-spyware-cleaning-guide/ Post OTL.txt her (legg ved filer) Lenke til kommentar
Dr.Geek Skrevet 12. desember 2012 Del Skrevet 12. desember 2012 Nå ser det ut til at dette kun oppstår i IE og ikke i de andre nettleserne. Har slettet loggene, og når jeg søker "hardware.no" på min www.google.no- startside så finner den jo det, men når jeg klikket på linken så havnet jeg (denne gangen) på http://bryllupmenypl...rds=brudekjoler haugesund&rd=3 Merkelig Interessant. Dette peker på at søke instillingene for IE er problemet. Gjør følgende: http://windows.microsoft.com/nb-NO/windows-vista/Reset-Internet-Explorer-8-settings Følg punkt: Slik tilbakestiller du Internet Explorer-innstillinger Restart IE og si om problemet er borte nå. Lenke til kommentar
madammim Skrevet 12. desember 2012 Forfatter Del Skrevet 12. desember 2012 Trikset med å tilbakestille IE virket ikke, og nå kan jeg heller ikke velge google som min søkeleverandør Var også litt rask med å friskemelde de andre nettleserne. Testet litt mere på FF og jeg blir fortsatt vidresendt til feile sider, det var "bare" hardware.no-testen min som virket. Prøvde å slette alle logger på FF, men da hengte maskina seg. Skal få kjørt den siste testen du anbefalte. Kommer tilbake med resultatet Lenke til kommentar
madammim Skrevet 12. desember 2012 Forfatter Del Skrevet 12. desember 2012 Her er loggen. Takk for at du tar deg tid OTL.Txt Lenke til kommentar
Dr.Geek Skrevet 13. desember 2012 Del Skrevet 13. desember 2012 Her er loggen. Takk for at du tar deg tid Hai, Dette skal løse problemet: 1. Først deinstall Spybot Search & Destroy. 2. OTL Fix: Avslutt alle programer. Start OTL.exe. Kopier følgende text in i det hvite vinduet: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- -- (WDICA) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRFRAME) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRELI) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDFRAME) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDCOMP) DRV - File not found [Kernel | System | Stopped] -- -- (PCIDump) DRV - File not found [Kernel | System | Stopped] -- -- (lbrtfdc) DRV - File not found [Kernel | System | Stopped] -- -- (i2omgmt) DRV - File not found [Kernel | System | Stopped] -- -- (Changer) IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} [2011.07.16 19:28:03 | 000,000,000 | ---D | M] (No name found) -- C:\Documents and Settings\stua\Programdata\Mozilla\Extensions [2012.11.24 03:37:50 | 000,000,000 | ---D | M] (No name found) -- C:\Documents and Settings\stua\Programdata\Mozilla\Firefox\Profiles\j25vkwrj.default\extensions [2012.11.24 03:37:50 | 000,804,627 | ---- | M] () (No name found) -- C:\Documents and Settings\stua\Programdata\Mozilla\Firefox\Profiles\j25vkwrj.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2012.12.02 14:14:14 | 000,000,000 | ---D | M] (No name found) -- C:\Programfiler\Mozilla Firefox\extensions O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. [2012.12.03 09:23:03 | 000,000,306 | ---- | C] () -- C:\WINDOWS\tasks\sxpquiv.job [2012.12.03 09:23:02 | 000,114,688 | RHS- | C] () -- C:\WINDOWS\System32\CNC5200CL.dll :Commands [emptytemp] [resethosts] Klick på "FIX": Pcen blir restartet. Legg ved loggen her når OTL er ferdig. 3. Scan med Combofix: http://www.bleepingc...to-use-combofix Legg ved loggen her. 4. Scan med http://public.avast....erek/aswMBR.htm Post logg. Lenke til kommentar
madammim Skrevet 13. desember 2012 Forfatter Del Skrevet 13. desember 2012 (endret) Maskina hang seg da jeg kjørte den OTL kommandoen. Ventet en time, men det samme. Restartet og kjørte først Combofix. Skal kjøre den andre og poste logfila. EDIT: Også asw-fila. Den fant en infection... log.txt aswMBR.txt Endret 13. desember 2012 av madammim Lenke til kommentar
Dr.Geek Skrevet 13. desember 2012 Del Skrevet 13. desember 2012 Vi fant den! Combofix bekrefter infeksjon jeg også fant i OTL loggen: [2012.12.03 09:23:03 | 000,000,306 | ---- | C] () -- C:\WINDOWS\tasks\sxpquiv.job [2012.12.03 09:23:02 | 000,114,688 | RHS- | C] () -- C:\WINDOWS\System32\CNC5200CL.dll Avast meldte den også. Utrolig at Malwarebytes ikke meldte den. Må være noe nytt. Prøv samme OTL fix etter at Combofix nå har kjørt. OTL skal restarte PCen etter 1-3 minuter, hvis ikke den gjør det, avbryt. Lenke til kommentar
Dr.Geek Skrevet 13. desember 2012 Del Skrevet 13. desember 2012 (endret) Skulle OTL Fix ikke fungere fjerner vi malware filen med combofix: 1. Slett den gamle combofix.exe. Deaktiver alle Antivirus software. 2. Last ned combofix på ny på ditt desktop. Trykk Windows + R tasten og åpne Notepad. Kopier her følgende text inn i det tomme textdokumente: FILE:: C:\WINDOWS\System32\CNC5200CL.dll C:\WINDOWS\tasks\sxpquiv.job Lagre dette dokumentet som CFScript.txt 3. Klick på CFScript.txt, hold og dra filen over combofix.exe symbolet hvor du da slipper det. Combofix vil begynne å scanne. Post loggen etter combofix er ferdig. Endret 13. desember 2012 av TheGenius Lenke til kommentar
madammim Skrevet 13. desember 2012 Forfatter Del Skrevet 13. desember 2012 (endret) Hei. Beklager at det tar litt tid. Fikk kjørt OTL uten problemer, legger ved log. Etter reboot så poppet MSE opp igjen, så godt tegn Den startet enda som hidden. Kjørte kombofix og asw. Legger ved loggene. Kombofix krevde at jeg disablet MSE, så eneste jeg fant når den var hidden var å avinstallere. Driver å installerer den på nytt nå. Igjen, tusen takk for at du tar deg tid til å hjelpe Ser bra ut nå (håper jeg) EDIT: Siste forslag var bare dersom OTL ikke virket? OTL.Txt Combofix.txt aswMBR.txt Endret 13. desember 2012 av madammim Lenke til kommentar
Dr.Geek Skrevet 13. desember 2012 Del Skrevet 13. desember 2012 (endret) Hai, loggen fra OTL er feil. Jeg trenger en OTL FIX som jeg har beskrevet. Malware filene må enten bli fjernet gjennom OTL fix eller med combofix script, se mitt siste posting. Den OTL loggen du har posta sist er bare en OTL Scan (Otl.txt) Så har du gjennomført denne OTL Fixen? 2. OTL Fix: Avslutt alle programer. Start OTL.exe. Kopier følgende text in i det hvite vinduet... Du finner loggen her, hvis OTL Fix ble gjennomført: C:\_OTL\MovedFiles\<dato_nummer.log> Endret 13. desember 2012 av TheGenius Lenke til kommentar
madammim Skrevet 13. desember 2012 Forfatter Del Skrevet 13. desember 2012 Hei. Her er den fix-loggen. Får ikke lov å legge den ved, så limer den inn. Ser det greit ut? All processes killed ========== OTL ========== Service WDICA stopped successfully! Service WDICA deleted successfully! Service PDRFRAME stopped successfully! Service PDRFRAME deleted successfully! Service PDRELI stopped successfully! Service PDRELI deleted successfully! Service PDFRAME stopped successfully! Service PDFRAME deleted successfully! Service PDCOMP stopped successfully! Service PDCOMP deleted successfully! Service PCIDump stopped successfully! Service PCIDump deleted successfully! Service lbrtfdc stopped successfully! Service lbrtfdc deleted successfully! Service i2omgmt stopped successfully! Service i2omgmt deleted successfully! Service Changer stopped successfully! Service Changer deleted successfully! HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully! HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully! C:\Documents and Settings\stua\Programdata\Mozilla\Extensions folder moved successfully. C:\Documents and Settings\stua\Programdata\Mozilla\Firefox\Profiles\j25vkwrj.default\extensions folder moved successfully. File C:\Documents and Settings\stua\Programdata\Mozilla\Firefox\Profiles\j25vkwrj.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi not found. C:\Programfiler\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd} folder moved successfully. C:\Programfiler\Mozilla Firefox\extensions folder moved successfully. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked not found. C:\WINDOWS\tasks\sxpquiv.job moved successfully. C:\WINDOWS\system32\CNC5200CL.dll moved successfully. ========== COMMANDS ========== [EMPTYTEMP] User: Administrator ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 67 bytes User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 67 bytes User: LocalService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 32902 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: stua ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 11851153 bytes ->Java cache emptied: 904678 bytes ->FireFox cache emptied: 81733183 bytes ->Google Chrome cache emptied: 87480482 bytes ->Flash cache emptied: 3126619 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 5672807 bytes %systemroot%\System32 .tmp files removed: 2573 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 0 bytes Session Manager Temp folder emptied: 505 bytes Session Manager Tmp folder emptied: 0 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 182,00 mb C:\WINDOWS\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully OTL by OldTimer - Version 3.2.69.0 log created on 12132012_141653 Files\Folders moved on Reboot... PendingFileRenameOperations files... Registry entries deleted on Reboot... Lenke til kommentar
Dr.Geek Skrevet 13. desember 2012 Del Skrevet 13. desember 2012 (endret) Hei. Her er den fix-loggen. Får ikke lov å legge den ved, så limer den inn. Ser det greit ut? Ja, bra jobba. Malwarefilene ble satt i quarantene av OTL. Hvis problemet er løst gjør disse avsluttende skrittene for å sikre PCen din. 1. Deinstalle Combofix og OTL: Åpne OTL.exe og klick "Cleanup". PCen vil bli restartet og disse programmene fjernet. 2. Kontrollscan med Malwarebytes Anti Malware og ESET online scanner: - Update Malwarebytes Anti Malware og kjør en fullscan - http://www.eset.no/t.../onlineskanner/ Fjern alle funn og post loggene 3. Update Windows med Windows Update og update all installert software, spesielt Flash Player og Java. http://secunia.com/products/consumer/ 4. Sikkerhet gjennom kunnskap: http://www.microsoft...rhet/index.html Installer et bra Antivirusprogramm og se at det fungerer korrekt. Mitt tips er: http://www.avast.com/free-antivirus-download (Free) Endret 13. desember 2012 av TheGenius 1 Lenke til kommentar
madammim Skrevet 13. desember 2012 Forfatter Del Skrevet 13. desember 2012 Nå har jeg kjørt begge scan-erne. Eset fant noen trusler, usikker på hvor alvorlig disse er. eset.txt mbam-log-2012-12-13 (20-43-29).txt Lenke til kommentar
Dr.Geek Skrevet 14. desember 2012 Del Skrevet 14. desember 2012 (endret) Nå har jeg kjørt begge scan-erne. Eset fant noen trusler, usikker på hvor alvorlig disse er. Diesse filene: C:\Documents and Settings\stua\Mine dokumenter\Nedlastinger\microsoft_auto_.zip en variant av Win32/Kryptik.AQJD trojaner slettet - i karantene C:\Documents and Settings\stua\Mine dokumenter\Nedlastinger\SoftonicDownloader_for_windows-movie-maker.exe en variant av Win32/SoftonicDownloader.D program renset ved sletting - i karantene har du lasta ned selv. Du må være forsiktig hva slags software du laster ned. Det kan være Malware eller Adware i nedlastinger fra usikre kilder. Det siste funnet fra eset som er i stystem restore slettes gjennom å gjennomføre følgende: http://windowxptutor...ore-points.html Hvis problemet nå er løst er vi ellers ferdige. Har du fortsatt problemer med PCen? Endret 14. desember 2012 av TheGenius 1 Lenke til kommentar
madammim Skrevet 14. desember 2012 Forfatter Del Skrevet 14. desember 2012 PC-en ser nå ut til å fungere bra igjen. Du får ha tusen takk for hjelpa Dette er en eldre maskin med flere brukere, mest facebook/chat/youtube o.l. For min del er det mest vedlikehold, noe jeg tydeligvis har neglisjert litt for mye. Har nå oppdatert det som skal oppdateres. Disse siste funnene må vel ha kommet mens vi har drevet å renset maskina. Skal prøve å finne ut om noen har lastet ned noe. Selv har jeg kun lastet ned AV-programmene som du har linket til. Igjen, takk for hjelpa Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå