Spywareinfisert selv etter stor innsats!

[OnetroM]

Jeg klarer ikke å få renset maskina mi selv etter gjentatte forsøk med all mulig slags programvare. Jeg har kjørt guidene til "janfredrik" og "antikapitalist", installert Spywareblaster og Microsoft Antispyware for kontinuerlig beskyttelse og i tillegg sperret urlene til www.lop.com (*lop.*) og searchbar i brannmur (Sygate Pro). Systemoppretting er også skrudd av.

 

Allikevel blir jeg ikke kvitt alt. Jeg kan scanne hver dag og enda dukker det opp noe lop-skit. I tillegg får jeg alltid de to påfølgende meldingene av MS Antispyware når jeg skrur på maskina:

 

Mld1:

The Internet Explorer URL for your Search Bar is attempting to be changed from http://www.vqwfkoirhuysyceqztin.biz/9_57XX...vlO10M6D2b.html to http://www.yeoruzsbnkjdaimxctdaxdg.com/9_5...FvlO10M6D2b.htm.

The default URL for your Search Bar is http://home.microsoft.com/search/lobby/search.asp.

 

Mld2:

The Internet Explorer URL for your Search Bar is attempting to be changed from http://www.vqwfkoirhuysyceqztin.biz/9_57XX...vlO10M6D2b.html to http://www.ldnzbwtpxltwkrsbxxurisxyh.org/9...FvlO10M6D2b.htm.

The default URL for your Search Bar is http://home.microsoft.com/search/lobby/search.asp.

 

Jeg bruker i all hovedsak Opera, men enkelte sider liker best Explorer så det hender jeg må være opera-utro. I explorer har jeg også blokkert alt med activex, kun klarert for xp-autoupdate og nettbanken min.

 

Alt dette er selvfølgelig iverksatt ETTER jeg ble plaget så jeg var jo allerede infisert.. Hva i alle verden kan jeg gjøre for å få en frisk pc? (kommer ikke til å reinstallere xp)

[janfredrik]

Last ned HijackThis http://www.majorgeeks.com/download3155.html

Kom inn med loggen hit.

[OnetroM]

Her er loggen: Log Hijackthis

 

Takker og bukker for at du tar deg tid til dette. Jeg kan scanne med adaware etter hver oppstart og finne en lop.com referanse, men den er tilbake etter neste oppstart..

[el_cash]

Tja, her har du jo stringen som skaper problemer for deg:

 

 

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =http://www.drsodyswhcvbvdsskeyvoo.uk/9_57XXe/9hmP_6QtBUOcyMqz52qDiCrvkcm20bMoxkzOqqhfMG9_klvlO10M6D2b.htm

 

Gå til registry og mapp opp: HKCU\Software\Microsoft\Internet Explorer\ - her fjerner du alt som heter noe som ligner på "http://www.drsodyswhcvbvdsskeyvoo.uk". Så kan du søke gjennom hele registry etter lop.com - det som dukker opp er det bare å fjerne.

 

 

O4 - HKCU\..\Run: [DebugHeck] C:\DOCUME~1\ALLEBR~1\PROGRA~1\PROCIN~1\daletrans.exe

 

Denne er ukjent for meg, hva er dette? Sikker på at det er noe "trygt"? Resten av det du har ser jo greit ut så langt jeg kan skjønne, men andre kan kanskje finne noe "skummelt"?

Kan også være en idé å laste ned og kjøre adaware og spybot, du kan jo alltids avinstallere dem etter å ha kjørt dem. Da burde du være ganske bra sikret. =)

Endret 16. april 2005 av el_cash

[OnetroM]

Ser ut til at det gjorde susen! Og det var utrolig herlig!!

 

Fjernet også daletrans-referansen. Søkte litt etter hva det kunne være uten å finne noe fornuftig og slettet den like gjerne.

 

Daletrans referansen lå i en katalog under windows som het 'Prefetch' som var full av *.pf filer. Pakket ned hele skiten og la den ut her: Prefetch.rar hvis noen har noe peiling på hva det kan være. Ser ikke ut til at maskina mi savnet noe under oppstart i alle fall.

 

MS Antispyware er jeg litt skuffet over, den har ikke slått ut på noe lop.com opplegg, der må Ad-Aware ha skryt, selvom den ikke klarte å fjerne årsaken til problemet. Den fant i alle fall skiten. Jeg kjører også nå også Spywareblaster med autoupdate og har nullet ut alt i firewallen så jeg har kontroll nå som pc'n er friskmeldt.

 

Tusen takk for hjelpen! Dette forumet har nok en gang løst problemer i løpet av kort tid.

Endret 17. april 2005 av Mozze