tor_erik Skrevet 1. juni 2005 Del Skrevet 1. juni 2005 Hei! Jeg har et virus kalt Click Me som jeg ikke får bort. Hver gang jeg starter pc-en, kommer det opp en boks som spør om jeg vil ringe til ditten og datten, og betale masse penger. I sted klarte jeg å trykke JA ved en feiltakelse. Jeg stoppet prosessen i Windown Task Mangaer, og restartet maskinen fort. Jeg nappet også ut internettkontakten. Tror dere unnslapp uten å betale noe? Er dette noe som evnt. står innstilt på "JA, ring opp" som en automatisk innstilling hver gang jeg slår på pc-en heretter, slik at jeg i dette øyeblikk betaler for samtaler jeg ikke vil ha? Takker for hjelp! Lenke til kommentar
endrebjo Skrevet 1. juni 2005 Del Skrevet 1. juni 2005 Bruker du modem eller ISDN? Hvis ikke er det vel ikke noe problem med dialer-virus. For å fjerne det kan du nekte det i oppstarten (WinXP: Run/kjør - msconfig | Win2k: Last ned f.eks WinPatrol), kjøre både AdAware, SpyBot S&D og Anti-virus. Evnt. se om du finner dialer-viruset i "Legg til/fjern programmer"-listen ("Add/remove programs). Lenke til kommentar
tor_erik Skrevet 1. juni 2005 Forfatter Del Skrevet 1. juni 2005 Heldigvis bruker jeg bredbånd, riktignok fra Telenor, menmen. Det er ikke mulig å fjerne det via msconfig, har prøvd dette flere ganger. Det kommer bare opp igjen som en ny oppføring. BTW; filen heter norway.exe. Lenke til kommentar
Jimmy Pop Skrevet 1. juni 2005 Del Skrevet 1. juni 2005 Kan ikke ringe opp noe hvis du ikke har noe å ringe opp og betale for. Å fjerne det, derimot, det er en jobb i seg selv. Har hørt om noe GNU/Linux-greier som sikkert fjerner problemet. Lenke til kommentar
Alastor Skrevet 1. juni 2005 Del Skrevet 1. juni 2005 Last ned, oppdater og kjør disse 3 programmene: Microsoft Antispyware - www.microsoft.com (husk å ta DEEP SCAN i innstillingene) Spybot Search And destroy - www.safer-networking.de Lavasoft Ad-aware - www.lavasoft.nu Når disse er kjørt, restart og kjør de igjen. Har du fremdeles problemer da, kjør hijackthis og post loggen her. Men 9 av 10 problemer fikses ved å scanne med disse programmene . Lenke til kommentar
tor_erik Skrevet 2. juni 2005 Forfatter Del Skrevet 2. juni 2005 Da får vi gå rett på hijackthis da. Har allerede gjort det du nevnte flere ganger. Lenke til kommentar
tor_erik Skrevet 2. juni 2005 Forfatter Del Skrevet 2. juni 2005 Her er da loggen fra Hijackthis. Sikkert fullt av rare filer, alt mulig renner inn her. Logfile of HijackThis v1.99.1 Scan saved at 18:31:57, on 02.06.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programfiler\TGTSoft\StyleXP\StyleXPService.exe C:\Programfiler\Fellesfiler\Symantec Shared\ccSetMgr.exe C:\Programfiler\Fellesfiler\Symantec Shared\SNDSrvc.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programfiler\Fellesfiler\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programfiler\Java\jre1.5.0_02\bin\jusched.exe C:\Programfiler\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe C:\Programfiler\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE C:\WINDOWS\System32\CTHELPER.EXE C:\Programfiler\Fellesfiler\Symantec Shared\ccApp.exe C:\Programfiler\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\System32\ctfmon.exe C:\Programfiler\TGTSoft\StyleXP\StyleXP.exe C:\Programfiler\Stardock\ObjectDock\ObjectDock.exe C:\Programfiler\Fellesfiler\Symantec Shared\ccProxy.exe C:\WINDOWS\System32\CTSvcCDA.EXE C:\Programfiler\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\Programfiler\Messenger\msmsgs.exe C:\Programfiler\Norton Internet Security\Norton AntiVirus\SAVScan.exe C:\WINDOWS\System32\UAService7.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\Programfiler\dMSN\dMSN Messenger.exe C:\Programfiler\Mozilla Firefox\firefox.exe C:\Programfiler\Winamp\winamp.exe C:\PROGRA~1\WINZIP\winzip32.exe C:\Documents and Settings\Tor Erik\Lokale innstillinger\Temp\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmiracle.com/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmiracle.com/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchmiracle.com/sp.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.online.no/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.online.no/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchmiracle.com/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fra Online ADSL R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koblinger R3 - Default URLSearchHook is missing O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SBDrvDet] C:\Programfiler\Creative\SB Drive Det\SBDrvDet.exe /r O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programfiler\Java\jre1.5.0_02\bin\jusched.exe O4 - HKLM\..\Run: [CTSysVol] C:\Programfiler\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe O4 - HKLM\..\Run: [CTDVDDet] C:\Programfiler\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [ccApp] "C:\Programfiler\Fellesfiler\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [IS CfgWiz] C:\Programfiler\Fellesfiler\Symantec Shared\cfgwiz.exe /GUID NIS /CMDLINE "REBOOT" O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programfiler\Norton Internet Security\UrlLstCk.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programfiler\Fellesfiler\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programfiler\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programfiler\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [gcasServ] "C:\Programfiler\Microsoft AntiSpyware\gcasServ.exe" O4 - HKLM\..\Run: [checkrun] C:\windows\system32\elitetfj32.exe O4 - HKLM\..\Run: [HELPER] C:\WINDOWS\System32\norway.exe -N O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [STYLEXP] C:\Programfiler\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - HKCU\..\Run: [msnmsgr] "C:\Programfiler\MSN Messenger\msnmsgr.exe" /background O4 - Startup: ObjectDock.lnk = C:\Programfiler\Stardock\ObjectDock\ObjectDock.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\MSMSGS.EXE O12 - Plugin for .spop: C:\Programfiler\Internet Explorer\Plugins\NPDocBox.dll O14 - IERESET.INF: START_PAGE_URL=http://www.online.no/ O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\ccSetMgr.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.EXE O23 - Service: hpdj - HP - C:\DOCUME~1\TORERI~1\LOKALE~1\Temp\hpdj.exe O23 - Service: Norton AntiVirus Auto-Protect-tjeneste (navapsvc) - Symantec Corporation - C:\Programfiler\Norton Internet Security\Norton AntiVirus\navapsvc.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programfiler\Norton Internet Security\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FELLES~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\SNDSrvc.exe O23 - Service: StyleXPService - Unknown owner - C:\Programfiler\TGTSoft\StyleXP\StyleXPService.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\Security Center\SymWSC.exe O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\System32\UAService7.exe Lenke til kommentar
Alastor Skrevet 2. juni 2005 Del Skrevet 2. juni 2005 MS Anitspy har et par funksjoner som kan slette programmer fra å starte opp mer effektivt enn msconfig, samt blokkere browser helper objects og slikt også. Disse finner du på advanced tools, se der hva du kan slette også. Men over til hijackthis. R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmiracle.com/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmiracle.com/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchmiracle.com/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchmiracle.com/sp.php Searchmiracle minner om en browser hijack. Disse kan tilbakestilles med microsoft antispyware om du leter litt der . O4 - HKLM\..\Run: [HELPER] C:\WINDOWS\System32\norway.exe -N <-- denne kan slettes, men det er vel den du sletter manuellt fra msconfig. Prøv allikevel å fjerne denne. O4 - HKLM\..\Run: [checkrun] C:\windows\system32\elitetfj32.exe <-- denne kan også slettes, er visstnok elitebar. Slett registernøkler og filer de peker til. Ellers så er det vel zjulik som er eksperten på hijackthis-logger, han kommer sikkert innom etterpå . Lenke til kommentar
tor_erik Skrevet 2. juni 2005 Forfatter Del Skrevet 2. juni 2005 Okay, takker for hjelpen så langt. Lenke til kommentar
Alastor Skrevet 3. juni 2005 Del Skrevet 3. juni 2005 Fant en genial side på nettet i dag, hijackthis automatic parser and analyser http://hjt.iamnotageek.com/ Den sier at du også kan slette denne: O4 - HKCU\..\Run: [Ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe Dette er en fil som tilhører coolwebsearch, den verste browser hijackeren på nett . Lenke til kommentar
zjulik Skrevet 3. juni 2005 Del Skrevet 3. juni 2005 (endret) Fant en genial side på nettet i dag, hijackthis automatic parser and analyser http://hjt.iamnotageek.com/ Den sier at du også kan slette denne: O4 - HKCU\..\Run: [Ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe Dette er en fil som tilhører coolwebsearch, den verste browser hijackeren på nett . NEI! WINDOWS/system32/ctfmon.exe er en del av Office. Det er riktignok ikke nødvendig å ha den liggende under oppstart. Men det er heller ikke skadelig: http://support.microsoft.com/?kbid=282599 Derimor finnes det lignende filer: ctfmon.exe som legger seg i WINDOWS-mappen (ikke i system32). Virus. ctfmon32.exe i system32-mappen (coolwebsearch) Akkurat dette sier hjt.iamnotageek.com også, hvis du ser godt etter Endret 3. juni 2005 av zjulik Lenke til kommentar
Alastor Skrevet 3. juni 2005 Del Skrevet 3. juni 2005 Hmm, jeg leste bare det siden sa jeg, at cftmon.exe er filnavnet, cftmon32.exe er prosessnavnet og den legger seg i system32. Lenke til kommentar
Dahl Skrevet 4. juni 2005 Del Skrevet 4. juni 2005 Slike opprigninger fungerer kun emd modem, så med bredbånd er du sikret! Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå