Kupp-forsøk? Hvordan bli kvitt det?

[perspektiv]

Kan noen hjelpe meg med følgende kinkige problem:

 

Jeg er langt på vei legmann på feltet - og har fått et problem etter at en av guttungen og noen kamerater har vært innom en noe tvilsom nett-side mens jeg var på jobbreise. Joda, det har hendt at jeg har streifet innom slike sider selv, men synes faktisk ikke det er det mest spennende å bruke nettet til - og nå har jeg nedlagt totalforbud, uanset hevm det måtte være.

 

Sake er at når jeg skal ringe opp EU-nett (er fortsatt på ISDN), så dukker det opp et helt nytt brukernavn og telefonnummer i innloggingsboksen. Jeg har forsøkt både å slete internettforbindelsen og opprette den på nytt og slette alle midlertdige internetfiler og cookies - men like fullt dukker det opp igjen selv om jeg overskriver det med riktig brukernavn, passord og telefonnummer. Jeg klarer å gå inn på eu-nett på riktig måte ved å skrive inn riktig informasjon, men neste gang jeg går inn i maskinen eller skal logge meg på, er de gale innlogings-opplysningene tilbake igjen.

 

Jeg bruker windows XP home, og det som er bra er at brannmuren i XP ikke tillater at det fremmede utelandsnummeret blir ringt opp. Jeg har full virusoppdatering, har søkt etter virus, men ikke funnet noe.

 

Det andre som skjer er at det etter en tid popper opp et par pornografiske nettsider når jeg kobler meg på på nettet via riktig telefonnummer. Den fortvilte guttungen har fortalt at det kom en beskjed om at programvarer var blitt lagt inn, og det lå også ikoner (snarveier) til slike nettsider på skrivebordet som de slettet ved å søke og slette snarveisfilene eller hva det er for noe.

 

Hvordan kan jeg bli kvitt dritten? Noe jeg kan gjøre selv?

 

Jeg ville bli svært takknemlig for hjelp.

[TorS]

Du kan jo sjekke om du har noe spyware/adware på maskina.. Det kan gjøre noe lignende av det du beskriver...

 

Programmer som er å anbefale er da: AdAware og Spybot, men du kan også prøve HijackThis og CWShredder, men de to sistnevnte har ikke jeg noen erfaring med.

[akh]

Post hijackthis loggen her.

Se også om det kjøres noen prosesser/programmer som virker ukjente i oppgavebehandlingen. (ctrl+alt+del) Ta gjerne en screenshot og post den her.

[perspektiv]

Takk for innspill - men pga julefeiring og pc'en for øyeblikket er demontert for flytting til et annet sted i huset, har jeg ikke fått gjort noe med rådene jeg har fått. Men håper på å få gjort noe med det i mellomjula.

 

Men hvordan går man frem for å bruke hikackthis? Og for å ta screenshot og poste det her?

[akh]

Last ned hijackthis og kjør det enkelt og greit. Tror det er en knapp hvor det står "save log" eller lignende der. (bruker mac-maskinen min nå, så får ikke sjekket det nøyaktig)

Om screenshot: Trykk på printscreen-knappen på maskinen (som regel ved siden av F12), åpne et bildeprogram, f.eks. paint, og lim inn det du tok bilde av. (ctrl+v)

[perspektiv]

Hei igjen

 

har endelig hatt tid til å koble opp pc'en igjen, og har lastet ned både adaware, spybot og hijackthis.

 

Da jeg koblet opp pc'en igjen var alle innstillingene på oppringingen normale igjen - og disse har ikke endret seg etterpå. Har kjørt alle søkene, og det ble funnet en del ruskl. Men 5 objekter med navnet DSO Exploit fortsetter å dukke opp igjen hver gang jeg kjører spybot, selv om jeg sletter dem.

Har også fortsatt problemer med at en eller annen svensk pornoside dukker opp når jeg er inne på explorer.

 

Her er loggen etter å ha scannnet med hijackthis. Noen som ser problemet, og hva jeg kan gjøre med det? Håper på å få renset pc'en, slik at jeg slipper slikt dritt igjen.

 

Logfile of HijackThis v1.99.0

Scan saved at 12:19:30, on 31.12.2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Programfiler\Fellesfiler\Symantec Shared\ccSetMgr.exe

C:\Programfiler\Fellesfiler\Symantec Shared\ccEvtMgr.exe

c:\acer\KnobService.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Programfiler\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\mHotkey.exe

C:\WINDOWS\CNYHKey.exe

C:\WINDOWS\mHotMon.exe

C:\Program Files\Aspire\WFTVFM\WFWIZ.exe

C:\Programfiler\Java\j2re1.4.2_05\bin\jusched.exe

C:\Programfiler\CyberLink\PowerDVD\PDVDServ.exe

C:\acer\KnobMonitor.exe

C:\ACER\MPS.EXE

C:\Programfiler\Fellesfiler\Symantec Shared\ccApp.exe

C:\Programfiler\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Programfiler\Eicon\Diva\DiTask.exe

C:\Programfiler\Eicon\Diva\Divamon.exe

C:\Programfiler\Eicon\Diva\watch.exe

C:\Programfiler\Eicon\Diva\cgserver.exe

C:\Programfiler\Eicon\Diva\diinfo.exe

C:\Programfiler\Fellesfiler\Microsoft Shared\Works Shared\WkUFind.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Programfiler\Messenger\msmsgs.exe

C:\PROGRA~1\Greatis\REGRUN~1\WatchDog.exe

C:\Programfiler\Norton AntiVirus\SAVScan.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Programfiler\Internet Explorer\iexplore.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Documents and Settings\Bruker\Lokale innstillinger\Temp\Midlertidig mappe 1 for hijackthis.zip\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://global.acer.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koblinger

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programfiler\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {8B5235A7-FE7C-4375-9036-846AE36892FE} - C:\WINDOWS\System32\jaggoaa.dll (file missing)

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programfiler\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programfiler\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [CHotkey] mHotkey.exe

O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe

O4 - HKLM\..\Run: [sSER] sser.exe

O4 - HKLM\..\Run: [mHotmon] mHotMon.exe

O4 - HKLM\..\Run: [Aspire Schedule] C:\Program Files\Aspire\WFTVFM\WFWIZ.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Programfiler\Java\j2re1.4.2_05\bin\jusched.exe

O4 - HKLM\..\Run: [RemoteControl] C:\Programfiler\CyberLink\PowerDVD\PDVDServ.exe

O4 - HKLM\..\Run: [KnobMonitor] C:\acer\KnobMonitor.exe

O4 - HKLM\..\Run: [MPS] C:\ACER\MPS.EXE

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg

O4 - HKLM\..\Run: [ccApp] "C:\Programfiler\Fellesfiler\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [ATIPTA] C:\Programfiler\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [DiTask.exe] "C:\Programfiler\Eicon\Diva\DiTask.exe"

O4 - HKLM\..\Run: [Divamon.exe] "C:\Programfiler\Eicon\Diva\Divamon.exe"

O4 - HKLM\..\Run: [Eicon TechnologyLAN_DAEMON] "C:\Programfiler\Eicon\Diva\watch.exe"

O4 - HKLM\..\Run: [CGServer] "C:\Programfiler\Eicon\Diva\cgserver.exe"

O4 - HKLM\..\Run: [sSC_UserPrompt] C:\Programfiler\Fellesfiler\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programfiler\Fellesfiler\Microsoft Shared\Works Shared\WkUFind.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Programfiler\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Regrun2] C:\PROGRA~1\Greatis\REGRUN~1\WatchDog.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Programfiler\Microsoft Office\Office10\OSA.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O12 - Plugin for .spop: C:\Programfiler\Internet Explorer\Plugins\NPDocBox.dll

O14 - IERESET.INF: START_PAGE_URL=http://global.acer.com/

O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://utu.popcap.com/games/popcaploader_v6.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{F1D2D813-2B1B-4005-A6D1-FED0A6853A15}: NameServer = 193.75.75.75 193.75.75.193

O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2 (file missing)

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\ccSetMgr.exe

O23 - Service: Knob Service - Acer Inc. - c:\acer\KnobService.exe

O23 - Service: Norton AntiVirus Auto-Protect-tjeneste - Symantec Corporation - C:\Programfiler\Norton AntiVirus\navapsvc.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Programfiler\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\FELLES~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: SymWMI Service - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\Security Center\SymWSC.exe