jeg sliter , spyware problem

[Mato]

her plutselig var det noe som kapret FF , har altids vert plaget med EI , kommer pupups bare jeg starte EI , men bruker det aldri så har ikke gjørt noe med det , men når FF er rammet ble det på tide og ta afere

 

så problet er da at et ellerannet har kapret EI og FF , når Ei startes kommer det opp puppups og det er en extra søkebar der

 

legger inn en log fil fra hijackThis til di som kan lese dette

 

av andre porgrammer jeg bruker til og bekjempe spyware og virus så er følgene instalert :

 

AVG antvirus , adaware , og MS sitt nye spyware program

 

Logfile of HijackThis v1.99.1

Scan saved at 01:55:17, on 12.07.2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

G:\WINDOWS\System32\smss.exe

G:\WINDOWS\system32\winlogon.exe

G:\WINDOWS\system32\services.exe

G:\WINDOWS\system32\lsass.exe

G:\WINDOWS\system32\Ati2evxx.exe

G:\WINDOWS\system32\svchost.exe

G:\WINDOWS\System32\svchost.exe

G:\WINDOWS\system32\Ati2evxx.exe

G:\WINDOWS\system32\spoolsv.exe

G:\WINDOWS\Explorer.EXE

G:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

G:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe

G:\Program Files\Java\jre1.5.0_02\bin\jusched.exe

G:\Program Files\MessengerPlus! 3\MsgPlus.exe

G:\Program Files\EzLink\ezlink.exe

G:\Program Files\DU Meter\DUMeter.exe

G:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe

G:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

G:\Program Files\Logitech\iTouch\iTouch.exe

G:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

G:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe

G:\Program Files\MSN Apps\Updater\01.02.3000.1001\no\msnappau.exe

G:\Program Files\Logitech\MouseWare\system\em_exec.exe

G:\Program Files\Microsoft AntiSpyware\gcasServ.exe

G:\WINDOWS\system32\ctfmon.exe

G:\Program Files\eMule\emule.exe

G:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe

G:\Program Files\Internet Explorer\iexplore.exe

G:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

G:\Program Files\MSN Messenger\msnmsgr.exe

G:\WINDOWS\System32\svchost.exe

g:\progra~1\intern~1\iexplore.exe

G:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe

G:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

G:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe

G:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe

G:\WINDOWS\System32\svchost.exe

G:\Program Files\Mozilla Firefox\firefox.exe

G:\Program Files\Microsoft AntiSpyware\GIANTAntiSpywareMain.exe

C:\Root\Tore`s rot\programmer\programmmer\spyware fjernig\hijackthis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wmyiooviyaojslhtuob.com/FDrAWRJ...Dj2GGHhE47r.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - G:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - G:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\no\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - G:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\no\msntb.dll

O4 - HKLM\..\Run: [ATIPTA] G:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [AVG7_CC] G:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [sunJavaUpdateSched] G:\Program Files\Java\jre1.5.0_02\bin\jusched.exe

O4 - HKLM\..\Run: [MessengerPlus3] "G:\Program Files\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [ezlink] "G:\Program Files\EzLink\ezlink.exe" -service_start -background

O4 - HKLM\..\Run: [DU Meter] G:\Program Files\DU Meter\DUMeter.exe

O4 - HKLM\..\Run: [CamMonitor] G:\Program Files\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe

O4 - HKLM\..\Run: [share-to-Web Namespace Daemon] G:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [NeroFilterCheck] G:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [zBrowser Launcher] G:\Program Files\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [msnappau] "G:\Program Files\MSN Apps\Updater\01.02.3000.1001\no\msnappau.exe"

O4 - HKLM\..\Run: [gcasServ] "G:\Program Files\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\Run: [poll okay five face] G:\Documents and Settings\All Users\Application Data\axissectpollokay\CLOSETRUST.exe

O4 - HKCU\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MessengerPlus3] "G:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [eMuleAutoStart] G:\Program Files\eMule\emule.exe -AutoStart

O4 - HKCU\..\Run: [msnmsgr] "G:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [acelocks] G:\DOCUME~1\Tore\APPLIC~1\CORNDE~1\Vc bash nurb.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = G:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: hp psc 1000 series.lnk = ?

O4 - Global Startup: hpoddt01.exe.lnk = ?

O4 - Global Startup: Hurtigstart for Adobe Reader.lnk = G:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1108333440421

O16 - DPF: {6FDB0065-2787-11D6-B1D8-0001023916FC} (CLOActiveXInstaller Control) - http://www.igl.net/clo/install/grab/CLOAct...tallerProj1.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O16 - DPF: {D54160C3-DB7B-4534-9B65-190EE4A9C7F7} (SproutLauncherCtrl Class) - http://media.grab.com/media/fbd793/games/f...outLauncher.cab

O23 - Service: Ati HotKey Poller - Unknown owner - G:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - G:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - G:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - G:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: Pml Driver HPZ12 - HP - G:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Prime95 Service - Unknown owner - G:\Program Files\Prime95\prime95.exe (file missing)

 

 

jeg har og sett litt over programfilene mine og funnet et par ting jeg vet 100% ikke skal være der og slette di , men jeg kom over disse filene ( klikk for bilde)

 

jeg har en mage følelse for at dette er no BS men sidne jeg ikke er 100% sikker vil jeg ikke slette di , men noen av di er knyttet til startupen i følge MSantyspyware .

 

så jeg føler meg litt hjelpesløs , bruker liksom takle ting som dette med mindre problemer , men i dag står jeg fast som bare det , spesielt med tanke på at ff er infisert med noe ..

 

 

TAKKER for alle svar

 

FtZ-

[Data-aid]

Foreslår at du starter maskinen din i sikker modus med nettverk.

Deretter går du inn på Antivirus fra Trend og kjører en online test. Fjern det som den foreslår.

Skriv gjerne en tilbakemelding hvordan det gikk.

[zjulik]

Start HijackThis og slett disse:

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wmyiooviyaojslhtuob.com/FDrAWRJ...Dj2GGHhE47r.htm

O4 - HKLM\..\Run: [poll okay five face] G:\Documents and Settings\All Users\Application Data\axissectpollokay\CLOSETRUST.exe

 

Den siste av de to må du antagelig stanse i oppgavebehandling først.

 

Slett denne mens du er i farta - filen mangler:

O23 - Service: Prime95 Service - Unknown owner - G:\Program Files\Prime95\prime95.exe (file missing)

 

Så sletter du mappen G:\Documents and Settings\All Users\Application Data\axissectpollokay.

 

Så er det omstart i Safe Mode - og hele greia om igjen i fall den skulle ha dukket opp igjen.

Last ned og kjør CrapCleaner (sig) eller lignende søppeltømmer før du begynner, og kjør denne noen ganger underveis.

[Mato]

Foreslår at du starter maskinen din i sikker modus med nettverk.

Deretter går du inn på Antivirus fra Trend og kjører en online test. Fjern det som den foreslår.

Skriv gjerne en tilbakemelding hvordan det gikk.

driver og kjører denne http://housecall60.trendmicro.com/en/start_corp.asp

 

den har funnet 2 infiserte filer til nå , er på 80%

 

EDIT: er ferdig med online scan , den fant og fjernet 2 virus og 18 spyware saker

EDIT2: ccleaner slette over 1gb med stuff , datan min er jo bare rot

 

EDIT3: helt kjapt det var F5 man trykke i startup for og velge opstarts modus ikke sant ??

Endret 12. juli 2005 av FtZ-

[zjulik]

Det kan være F1, F8 eller F10. Jeg ville prøvd F8 som er vanligst(?).

[Mato]

Det kan være F1, F8 eller F10. Jeg ville prøvd F8 som er vanligst(?).

det viser seg faktisk at tastaturet midt ikke virker før windows er bootet , virker i værtfal sånn . for altdeldel komandoen virker ikke i opstarten , trøtt nå , tror jeg fikser dette i morgen , så jeg ikke blir sint og trøtt

Endret 12. juli 2005 av FtZ-

[Mato]

noen som har en løsning på hvordan eg får datan til og vise den menyen i startupen by defalt ??

 

EDIT: fikset uten sikerhetsmodus , bare koble av internett , stoppe ALT av running prossessen , slette alt med bogus navn , kjøre allt at spywareprogammer , koble på internett og kjøre 911 , maskinen er nå ren

Endret 12. juli 2005 av FtZ-