DØD over Search2Web!

[Rage_Hunter]

Nå har det seg slik at min PC har blitt infisert nok en gang med det irriterende search2web spyware driden!

 

Jeg har prøvd å laste ned lopremover men den virker bare for en time og så, vips, så er det tilbake igjen! Håper noen av dere har noen gode måter å ta knekken på denne spywaren og har prøvd med både AdAware og Aluria Spyware Eliminator.

 

HiJackThis log:

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Programfiler\TGTSoft\StyleXP\StyleXPService.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Programfiler\Fellesfiler\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Programfiler\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\PROGRA~1\NORTON~1\navapw32.exe

C:\Programfiler\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe

C:\Programfiler\ScanSoft\OmniPageSE\opware32.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Programfiler\Java\j2re1.4.2_04\bin\jusched.exe

C:\Programfiler\Envy24\EnMixCPL.exe

C:\Programfiler\Musicmatch\Musicmatch Jukebox\mmtask.exe

C:\Programfiler\Winamp\winampa.exe

C:\WINDOWS\system32\rundll32.exe

C:\Programfiler\D-Tools\daemon.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programfiler\Aluria Software\ASE\ASE Scheduler.exe

C:\Programfiler\Azureus\Azureus.exe

C:\Programfiler\Java\j2re1.4.2_01\bin\javaw.exe

C:\WINDOWS\System32\WISPTIS.EXE

c:\progra~1\intern~1\iexplore.exe

C:\Programfiler\Internet Explorer\iexplore.exe

C:\Programfiler\Mercury\Mercury.exe

C:\DOCUME~1\PERKUM~1\LOKALE~1\Temp\Midlertidig mappe 2 for hijackthis.zip\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.xvmyrvxiql.org/ru/w_Cw_HCVSjQE/...aU_FMlmwbw.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.esobfreulkqnmco.com/ru/w_Cw_HCX...qNjhcfu2xI.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koblinger

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programfiler\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {202CB765-0783-654D-A357-279C294A9409} - C:\DOCUME~1\Magrit\PROGRA~1\CHICHO~1\blah the.exe

O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programfiler\NewDotNet\newdotnet6_38.dll

O2 - BHO: (no name) - {7BEF42C3-9A5D-6115-F56E-3C7AED9F0CC5} - C:\DOCUME~1\PERKUM~1\PROGRA~1\CHICHO~1\blah the.exe

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programfiler\Norton AntiVirus\NavShExt.dll

O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programfiler\TGTSoft\StyleXP\TGT_BHO.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programfiler\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [systemTray] SysTray.Exe

O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe

O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programfiler\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"

O4 - HKLM\..\Run: [Microsoft Tray] C:\My Shared Folder\Pokemon Advance ROM.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [Omnipage] C:\Programfiler\ScanSoft\OmniPageSE\opware32.exe

O4 - HKLM\..\Run: [AceGain LiveUpdate] C:\Programfiler\AceGain\LiveUpdate\LiveUpdate.exe

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Programfiler\Java\j2re1.4.2_04\bin\jusched.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programfiler\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [EnvyHFCPL] C:\Programfiler\Envy24\EnMixCPL.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [mmtask] C:\Programfiler\Musicmatch\Musicmatch Jukebox\mmtask.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Programfiler\Winamp\winampa.exe

O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programfiler\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe

O4 - HKLM\..\Run: [web 16 roam ford] C:\WINDOWS\All Users\Application Data\dalegreyweb16\Settings Four.exe

O4 - HKCU\..\Run: [sTYLEXP] C:\Programfiler\TGTSoft\StyleXP\StyleXP.exe -Hide

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Extra Amen] C:\DOCUME~1\PERKUM~1\PROGRA~1\LINKTR~1\First Send Bird.exe

O4 - Startup: ASE Scheduler.lnk = C:\Programfiler\Aluria Software\ASE\ASE Scheduler.exe

O8 - Extra context menu item: =>&Français - http:\\wordreference.com\fr\j\iefr119.htm

O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab

O16 - DPF: {0E5F0222-96B9-11D3-8997-00104BD12D94} (PCPitstop Utility) - http://www.pcpitstop.com/pcpitstop/PCPitStop.CAB

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab30149.cab

O16 - DPF: {1E2941E3-8E63-11D4-9D5A-00902742D6E0} (iNotes Class) - https://inotes.nfvgs.no/iNotes.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab28578.cab

O16 - DPF: {3BFFE033-BF43-11D5-A271-00A024A51325} (iNotes6 Class) - http://dwa.nfk.no:81/iNotes6.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1092988862015

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...StatsClient.cab

O16 - DPF: {90A29DA5-D020-4B18-8660-6689520C7CD7} (DmiReader Class) - http://support.euro.dell.com/global/apps/s...er/PROFILER.CAB

O16 - DPF: {AD08A333-609E-11D3-950C-008098601567} - http://wordreference.com/Install/English%20to%20French.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab30149.cab

O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab30149.cab

O16 - DPF: {D1E7CBDA-E60E-4970-A01C-37301EF7BF98} (Measurement Service Client v.3.4) - http://ccon.futuremark.com/global/msc34.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab

O23 - Service: Aluria Spyware Eliminator Service - Unknown - C:\PROGRA~1\ALURIA~1\ASE\ASEServ.exe

O23 - Service: IMAPI CD-Burning COM Service - Roxio Inc. - C:\WINDOWS\System32\ImapiRox.exe

O23 - Service: Norton AntiVirus Auto Protect Service - Symantec Corporation - C:\Programfiler\Norton AntiVirus\navapsvc.exe

O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Sandra Data Service - SiSoftware - C:\Programfiler\SiSoftware\SiSoftware Sandra Lite 2005\RpcDataSrv.exe

O23 - Service: Sandra Service - SiSoftware - C:\Programfiler\SiSoftware\SiSoftware Sandra Lite 2005\RpcSandraSrv.exe

O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\FELLES~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\SNDSrvc.exe

O23 - Service: StyleXPService - Unknown - C:\Programfiler\TGTSoft\StyleXP\StyleXPService.exe

Endret 1. januar 2005 av Rage_Hunter

[Jon@s]

tror ikke du er alene om å hate lop, men dette er spilldelen av forumet, så du har nok postet litt feil...men siden du er såpass ny flytter kanskje en snill mod den?

[silvercrowaxe]

Denne posten er nok feil-postet ja.

On topic: Hvis det er så galt så hjelper en formatering alltid.

 

Legolas

[Windoge]

Ja, denne er feilpostet. Problemet ditt skyldes sikkerhetsmessige årsaker. Flytter derfor tråden over til kategori for sikkerhet.

[Rage_Hunter]

Sorry Begynner bli dårlig vane det der med å poste feil... Men problemet er like der, og gidder ikke formatere ettersom har gjort det tre ganger på denne pcn. Hvis noen kunne hjelpe så hadde det vært supert! Så noen andre få hjelp på ett annet forum, men siden hun/han hadde blitt infisert på en annen måte enn jeg, kunne det ikke hjelpe.

 

PS: Takk for ikke stengte emne og bare flyttet det

[Rage_Hunter]

Jeg BER dere! Værsåsnill! Får de nye delene til PCn snart og da vil jeg den skal være reklame/spyware fri! Post svar hvis dere har aning som hvordan får det vekk!

[DanielTL]

Det kan være fra Kazaa, eller MSN plus!.Hvis du har MSN plus!, prøv å slette det.

 

Men, jeg kan altids ta feil.

Endret 2. januar 2005 av Evil_Nerd

[Rage_Hunter]

Det kan være fra Kazaa, eller MSN plus!.Hvis du har MSN plus!, prøv å slette det.

 

Men, jeg kan altids ta feil.

Er fra Plus tror jeg, men å bare slette virket liksom ikke....

[neXon]

- Høgreklikk på "Search2Web" og velg "hjelp". Klikk deretter på "disable". Du får da en kode du må skrive inn.

- Når dette er gjort lastned denne filen: og trykk på fix får den har scannet maskinen.

http://www.majorgeeks.com/downloadget.php?...6c5901960cc6e24

- Restart maskinen

- Kjør HijackThis etter oppstart

http://www.majorgeeks.com/download3155.html

 

 

 

Om dette ikke vil hjelpe kan du bruke Mozilla

http://www.mozilla.org/products/firefox/

[janfredrik]

Les guiden min og se om det fungerer.

http://forum.hardware.no/index.php?showtopic=352813

[Rage_Hunter]

Ble lei, slettet pcn !

[toak]

som jeg har skrevet i andre deler av forumet;

 

har du fått 7 merkelige ikoner på skriveboret?

 

Last ned og kjør denne filen. Da går ikonene automatisk vekk. Dette er en uinstaller for akkurat den typen spyware.

Har også skrevet en artikkel om det her.

 

mest sansynlig stammer dette på messenger plus, eller internett explorer.