chokke Skrevet 11. juni 2006 Del Skrevet 11. juni 2006 (endret) Hei . Triste nyheter har rammet meg. Har blitt infisert av et eller annet virus. Har NOD32 og den finner bare noe feil med java (som vanlig). Og det dukker hele tia opp nye snarveier på skrivebordet, den ene heter "online games" og den andre "remove spyware" begge linker til et søk på cc.planet.org En annen ting som også har skjedd er at det blinker et ikon nede i høyre hjørnet ved klokka som sier "you system is infected, click here to get offers" og man kan få tilbud om 3 jalla-navn "Goldantivirus" osv osv. Ca 1 gang i timene popper det opp "ULWindowSeek" som skal ha tilgang til internett og jeg har ikke gitt noe tilgang etter jeg ble infisert, så det er bare "Window could not get displayed". Så hvilke andre ting burde jeg bruke til å scanne nå? Adawere, spybot, hijackthis? edit: wow jeg kan få 1000 dollar og en tur til monocco i poker... edit: med NOD32 skal jeg bruke "on-demand" scanning eller scanning av local disks? hijackthis log: Logfile of HijackThis v1.99.1 Scan saved at 12:06:41, on 11.06.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programfiler\Sygate\SPF\smc.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\atmclk.exe C:\WINDOWS\system32\dcomcfg.exe C:\Programfiler\Eset\nod32kui.exe C:\Programfiler\Fellesfiler\Microsoft Shared\Works Shared\WkUFind.exe C:\Programfiler\Fellesfiler\Real\Update_OB\realsched.exe C:\Programfiler\D-Tools\daemon.exe C:\Programfiler\Winamp\winampa.exe C:\Programfiler\Java\jre1.5.0_05\bin\jusched.exe C:\Documents and Settings\knut\Skrivebord\RefreshLock.exe C:\Programfiler\Java\jre1.5.0_05\bin\jucheck.exe C:\Programfiler\Razer\razerhid.exe C:\Programfiler\ATI Technologies\ATI.ACE\cli.exe C:\WINDOWS\system32\482568f8.exe C:\WINDOWS\system32\b36e4835.exe C:\WINDOWS\system32\ctfmon.exe C:\programfiler\valve\steam\steam.exe C:\Programfiler\MSN Messenger\MsnMsgr.Exe C:\Programfiler\Pulse\Pulse.exe C:\Programfiler\BMT MouseTracker\MouseTrack.exe C:\Programfiler\Logitech\Profiler\lwemon.exe C:\Programfiler\BitComet\BitComet.exe C:\PROGRA~1\COMMON~1\ICROSO~1\lsass.exe C:\Programfiler\DU Super Controler\DUSuperControler.exe C:\Programfiler\DU Super Controler\DUSuperControler.exe C:\Programfiler\Eset\nod32krn.exe C:\Programfiler\Razer\razertra.exe C:\WINDOWS\System32\svchost.exe C:\Programfiler\Razer\razerofa.exe C:\Programfiler\ATI Technologies\ATI.ACE\cli.exe C:\Programfiler\ATI Technologies\ATI.ACE\cli.exe C:\Programfiler\Eset\nod32.exe C:\Programfiler\Mozilla Firefox\firefox.exe C:\Programfiler\WinRAR\WinRAR.exe C:\DOCUME~1\knut\LOKALE~1\Temp\Rar$EX00.125\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = prosearching.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.2020search.com/search/9884/search.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = prosearching.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = prosearching.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.2020search.com/search/9884/search.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = prosearching.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = prosearching.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.2020search.com/search/9884/search.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.2020search.com/search/9884/search.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = prosearching.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = prosearching.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programfiler\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Windows Resources - {2D38A51A-23C9-48a1-A33C-48675AA2B494} - C:\WINDOWS\winres.dll O2 - BHO: Nothing - {686a161d-5bd1-4999-8832-6393f41e564c} - C:\WINDOWS\system32\hp100.tmp O4 - HKLM\..\Run: [ATIPTA] "C:\ATI-CPanel\atiptaxx.exe" O4 - HKLM\..\Run: [smcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [nod32kui] "C:\Programfiler\Eset\nod32kui.exe" /WAITSERVICE O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programfiler\Fellesfiler\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [MSN Messages] msnmessag.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programfiler\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [WinampAgent] C:\Programfiler\Winamp\winampa.exe O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Programfiler\Java\jre1.5.0_05\bin\jusched.exe O4 - HKLM\..\Run: [RefreshLock] C:\Documents and Settings\knut\Skrivebord\RefreshLock.exe O4 - HKLM\..\Run: [razer] C:\Programfiler\Razer\razerhid.exe O4 - HKLM\..\Run: [ATICCC] "C:\Programfiler\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\Run: [482568f8.exe] C:\WINDOWS\system32\482568f8.exe O4 - HKLM\..\Run: [b36e4835.exe] C:\WINDOWS\system32\b36e4835.exe O4 - HKLM\..\RunServices: [MSN Messages] msnmessag.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [steam] "c:\programfiler\valve\steam\steam.exe" -silent O4 - HKCU\..\Run: [MsnMsgr] "C:\Programfiler\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [Pulse] C:\Programfiler\Pulse\Pulse.exe -splash O4 - HKCU\..\Run: [bMT] C:\Programfiler\BMT MouseTracker\MouseTrack.exe O4 - HKCU\..\Run: [MSN Messages] msnmessag.exe O4 - HKCU\..\Run: [start WingMan Profiler] "C:\Programfiler\Logitech\Profiler\lwemon.exe" /noui O4 - HKCU\..\Run: [bitComet] "C:\Programfiler\BitComet\BitComet.exe" O4 - HKCU\..\Run: [482568f8.exe] C:\Documents and Settings\knut\Lokale innstillinger\Programdata\482568f8.exe O4 - HKCU\..\Run: [Orat] "C:\PROGRA~1\COMMON~1\ICROSO~1\lsass.exe" -vt yax O4 - HKCU\..\Run: [b36e4835.exe] C:\Documents and Settings\knut\Lokale innstillinger\Programdata\b36e4835.exe O4 - HKCU\..\RunServices: [MSN Messages] msnmessag.exe O4 - Global Startup: DUSuperControler.lnk = C:\Programfiler\DU Super Controler\DUSuperControler.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programfiler\Microsoft Office\Office10\OSA.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe O15 - Trusted Zone: *.flingstone.com O15 - Trusted Zone: *.i-lookup.com O15 - Trusted Zone: *.offshoreclicks.com O15 - Trusted Zone: *.teensguru.com O15 - Trusted Zone: *.xxxtoolbar.com O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1104854749656 O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} (YazzleActiveX Control) - http://yax-download.yazzle.net/YazzleActiveX.cab?refid=1123 O20 - Winlogon Notify: winbfi32 - C:\WINDOWS\SYSTEM32\winbfi32.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programfiler\Fellesfiler\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programfiler\Eset\nod32krn.exe O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programfiler\Sygate\SPF\smc.exe De O15 var suspekte jo Endret 11. juni 2006 av chokke Lenke til kommentar
zjulik Skrevet 11. juni 2006 Del Skrevet 11. juni 2006 Hvis du har NOD32 så antar vi i utgangspunktet at det dreier seg om spyware (husk antivirus tar ikke dette!!) prøv derfor 30-dagers-demoen til SpySweeper: http://www.webroot.com Kjør CCleaner innimellom (link i sig). Lenke til kommentar
chokke Skrevet 11. juni 2006 Forfatter Del Skrevet 11. juni 2006 "Universa Application (win5462.tmp.exe) is trying to connect to www.tramadolphentermine.info (69.50.184.133) using remote port 80 (HTTP - world wide web) kommer opp en gang i timen og jeg tar no at den ikke skal connecte. Sygate pro firewall får opp disse to på loggen: (idag, dato) - executable File change denied - major- outgoing - TCP - 66.150.193.116 samme som over men med annen IP: 85.255.115.251 Lenke til kommentar
zjulik Skrevet 11. juni 2006 Del Skrevet 11. juni 2006 Ehmm...leste du posten min? Lenke til kommentar
PerB Skrevet 11. juni 2006 Del Skrevet 11. juni 2006 Start i sikker modus og slett filen "win5462.tmp.exe". Det vil hjelpe noe en liten stund. Og prøv med spysweeper 30-dagers trial. Lenke til kommentar
chokke Skrevet 11. juni 2006 Forfatter Del Skrevet 11. juni 2006 Ehmm...leste du posten min? 6285390[/snapback] ja? Jobber meg nedover med programmene nå... brukt hijackthis, lot NOD32 bli ferdig (fant en trojan) og er på spybot nå Lenke til kommentar
Thor. Skrevet 11. juni 2006 Del Skrevet 11. juni 2006 C:\WINDOWS\system32\atmclk.exe Trojaner C:\WINDOWS\system32\dcomcfg.exe Trojaner osv.... se her: http://www.hijackthis.de Lenke til kommentar
zjulik Skrevet 11. juni 2006 Del Skrevet 11. juni 2006 dcomcfg ja. Da skal du hit: http://siri.urz.free.fr/Fix/SmitfraudFix_En.php Prøv å gå skikkelig gjennom den siden. Lenke til kommentar
frank_jarle Skrevet 11. juni 2006 Del Skrevet 11. juni 2006 (endret) Kan jeg anbefale en annet program som funker kjempe bra "ewido anti-malware" Jeg hade noe som heter quake (quaker) på min maskin og de symtomene du beskriver om et lite rødt ikon nede til høyre ved klokke minner om det jeg hadde. kom opp en "sikkerhets melding" støtt og ofte om at jeg hadde et virus på maskinen. Blir egentlig brukt for å prmotore dems eget produkt for virus/malware renskin av maskinen din. for å være hel ærlig så høres/ser det ut som at du har en liten nasty som heter "Spy Falcon" den opptrer ihvertfall med en slik melding du har. Jeg prøvde å fjerne den på forskjellige måter, men endte opp med å fjerne den manuelt i safe mode etter å ha kjørt NOD32, og ewido anti-malware. Prøv denne først. http://www.spyware-removal-guideline.com/spyfalcon-removal så denne. http://www.spywareremove.com/removeSpy_Falcon.html http://www.annoyances.org/exec/forum/winxp/1113091578 Hvis det viser seg at når du følger disse guidene men ikke finner de filene som angitt så er det et tegn på at du ikke har Spy Falcon. Frankie Endret 11. juni 2006 av frank_jarle Lenke til kommentar
chokke Skrevet 11. juni 2006 Forfatter Del Skrevet 11. juni 2006 kan man ikke fjerne noe med spysweeper? må jo kjøpe den? Lenke til kommentar
berxter Skrevet 11. juni 2006 Del Skrevet 11. juni 2006 Gratis prøveperiode på 14 dager, dersom du leser godt på sida. Kjør endelig Smitfraudfix, den tar atmclk og dcomcfg. Bernt K Lenke til kommentar
chokke Skrevet 11. juni 2006 Forfatter Del Skrevet 11. juni 2006 (endret) Gratis prøveperiode på 14 dager, dersom du leser godt på sida. Kjør endelig Smitfraudfix, den tar atmclk og dcomcfg. Bernt K 6285661[/snapback] fant det ikke. men Smitfraudfix ser ut som fiksa biffen edit... neeei.... ser ikke sånn ut, får fortsatt "ULWindowseek" edt: Hijackthis-log: Logfile of HijackThis v1.99.1 Scan saved at 14:53:42, on 11.06.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programfiler\Sygate\SPF\smc.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programfiler\Eset\nod32krn.exe C:\WINDOWS\System32\svchost.exe C:\Programfiler\Webroot\Spy Sweeper\WRSSSDK.exe C:\Programfiler\Eset\nod32kui.exe C:\Programfiler\Fellesfiler\Microsoft Shared\Works Shared\WkUFind.exe C:\Programfiler\D-Tools\daemon.exe C:\Programfiler\Winamp\winampa.exe C:\Documents and Settings\knut\Skrivebord\RefreshLock.exe C:\Programfiler\Razer\razerhid.exe C:\Programfiler\ATI Technologies\ATI.ACE\cli.exe C:\WINDOWS\system32\482568f8.exe C:\WINDOWS\system32\b36e4835.exe C:\Programfiler\Webroot\Spy Sweeper\SpySweeper.exe C:\WINDOWS\system32\ctfmon.exe C:\programfiler\valve\steam\steam.exe C:\Programfiler\MSN Messenger\MsnMsgr.Exe C:\Programfiler\Pulse\Pulse.exe C:\Programfiler\BMT MouseTracker\MouseTrack.exe C:\Programfiler\Logitech\Profiler\lwemon.exe C:\Programfiler\BitComet\BitComet.exe C:\PROGRA~1\COMMON~1\ICROSO~1\lsass.exe C:\Programfiler\DU Super Controler\DUSuperControler.exe C:\Programfiler\DU Super Controler\DUSuperControler.exe C:\Programfiler\Razer\razertra.exe C:\Programfiler\Razer\razerofa.exe C:\Programfiler\ATI Technologies\ATI.ACE\cli.exe C:\Programfiler\ATI Technologies\ATI.ACE\cli.exe C:\Programfiler\Mozilla Firefox\firefox.exe C:\Programfiler\Spybot - Search & Destroy\SpybotSD.exe C:\Programfiler\WinRAR\WinRAR.exe C:\DOCUME~1\knut\LOKALE~1\Temp\Rar$EX10.297\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programfiler\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [ATIPTA] "C:\ATI-CPanel\atiptaxx.exe" O4 - HKLM\..\Run: [smcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [nod32kui] "C:\Programfiler\Eset\nod32kui.exe" /WAITSERVICE O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programfiler\Fellesfiler\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [MSN Messages] msnmessag.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programfiler\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [WinampAgent] C:\Programfiler\Winamp\winampa.exe O4 - HKLM\..\Run: [RefreshLock] C:\Documents and Settings\knut\Skrivebord\RefreshLock.exe O4 - HKLM\..\Run: [razer] C:\Programfiler\Razer\razerhid.exe O4 - HKLM\..\Run: [ATICCC] "C:\Programfiler\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\Run: [482568f8.exe] C:\WINDOWS\system32\482568f8.exe O4 - HKLM\..\Run: [b36e4835.exe] C:\WINDOWS\system32\b36e4835.exe O4 - HKLM\..\Run: [spySweeper] "C:\Programfiler\Webroot\Spy Sweeper\SpySweeper.exe" /startintray O4 - HKLM\..\RunServices: [MSN Messages] msnmessag.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [steam] "c:\programfiler\valve\steam\steam.exe" -silent O4 - HKCU\..\Run: [MsnMsgr] "C:\Programfiler\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [Pulse] C:\Programfiler\Pulse\Pulse.exe -splash O4 - HKCU\..\Run: [bMT] C:\Programfiler\BMT MouseTracker\MouseTrack.exe O4 - HKCU\..\Run: [MSN Messages] msnmessag.exe O4 - HKCU\..\Run: [start WingMan Profiler] "C:\Programfiler\Logitech\Profiler\lwemon.exe" /noui O4 - HKCU\..\Run: [bitComet] "C:\Programfiler\BitComet\BitComet.exe" O4 - HKCU\..\Run: [482568f8.exe] C:\Documents and Settings\knut\Lokale innstillinger\Programdata\482568f8.exe O4 - HKCU\..\Run: [Orat] "C:\PROGRA~1\COMMON~1\ICROSO~1\lsass.exe" -vt yax O4 - HKCU\..\Run: [b36e4835.exe] C:\Documents and Settings\knut\Lokale innstillinger\Programdata\b36e4835.exe O4 - HKCU\..\RunServices: [MSN Messages] msnmessag.exe O4 - Global Startup: DUSuperControler.lnk = C:\Programfiler\DU Super Controler\DUSuperControler.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programfiler\Microsoft Office\Office10\OSA.EXE O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1104854749656 O20 - Winlogon Notify: winbfi32 - C:\WINDOWS\SYSTEM32\winbfi32.dll O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programfiler\Fellesfiler\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programfiler\Eset\nod32krn.exe O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programfiler\Sygate\SPF\smc.exe O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programfiler\Webroot\Spy Sweeper\WRSSSDK.exe Endret 11. juni 2006 av chokke Lenke til kommentar
berxter Skrevet 11. juni 2006 Del Skrevet 11. juni 2006 (endret) Du fikk anbefalt Ewido litt oppe i tråden. Last ned, oppdater; restart maskina i safe mode og kjøyr. Sett den opp som beskrevet her: http://rstones12.geekstogo.com/ewidosetup.htm Og følg rådene her: http://forums.majorgeeks.com/showthread.ph...9391#post759391 Og Spybot. Og ccleaner Og en fersk HJTlogg Bernt K Endret 11. juni 2006 av berxter Lenke til kommentar
Snublefot Skrevet 11. juni 2006 Del Skrevet 11. juni 2006 Samme greien her. Når jeg gjorde som dette så forsvant alt på på pcen. Kan ikke bruke min vanlige bruker lenger. Viruset forsvandt da... Men er det noe dritt det viruset. Ikke lett å bli kvitt virket det som.. Lenke til kommentar
berxter Skrevet 11. juni 2006 Del Skrevet 11. juni 2006 Når du gjorde hva? Kjørte Ewido? Har aldri hørt om at den gjør noe galt. Hva gjorde du? Bernt K Lenke til kommentar
chokke Skrevet 11. juni 2006 Forfatter Del Skrevet 11. juni 2006 (endret) sånn, tror alt virker bra nå. Men jeg merka at når jeg starta firefox tok det UTROLIG lang tid å komme inn, først fant den ikke hw.no, deretter tok det 2-3 minutter å komme inn på 123spill.no, så også at den skulle kontakte noen reklamesider når jeg sklle på 123spill.no, men vet ikke om det er vanlig for sia (vet at det er dagbladet reklame, men det er alt). Så ble alt normalt, men er enda usikker edit: hijackthis log Logfile of HijackThis v1.99.1 Scan saved at 16:03:01, on 11.06.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programfiler\Sygate\SPF\smc.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programfiler\Eset\nod32kui.exe C:\Programfiler\Fellesfiler\Microsoft Shared\Works Shared\WkUFind.exe C:\Programfiler\D-Tools\daemon.exe C:\Programfiler\Winamp\winampa.exe C:\Programfiler\Razer\razerhid.exe C:\Programfiler\Eset\nod32krn.exe C:\Programfiler\ATI Technologies\ATI.ACE\cli.exe C:\WINDOWS\system32\482568f8.exe C:\WINDOWS\system32\b36e4835.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\System32\svchost.exe C:\programfiler\valve\steam\steam.exe C:\Programfiler\MSN Messenger\MsnMsgr.Exe C:\Programfiler\Pulse\Pulse.exe C:\Programfiler\BMT MouseTracker\MouseTrack.exe C:\Programfiler\Logitech\Profiler\lwemon.exe C:\Programfiler\Razer\razertra.exe C:\PROGRA~1\COMMON~1\ICROSO~1\lsass.exe C:\Programfiler\Razer\razerofa.exe C:\Programfiler\DU Super Controler\DUSuperControler.exe C:\Programfiler\DU Super Controler\DUSuperControler.exe C:\Programfiler\ATI Technologies\ATI.ACE\cli.exe C:\Programfiler\ATI Technologies\ATI.ACE\cli.exe C:\Programfiler\Mozilla Firefox\firefox.exe C:\Programfiler\World of Warcraft\BackgroundDownloader.exe C:\Programfiler\WinRAR\WinRAR.exe C:\Documents and Settings\knut\Skrivebord\films\nytt\søppel\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programfiler\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [ATIPTA] "C:\ATI-CPanel\atiptaxx.exe" O4 - HKLM\..\Run: [smcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [nod32kui] "C:\Programfiler\Eset\nod32kui.exe" /WAITSERVICE O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programfiler\Fellesfiler\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [MSN Messages] msnmessag.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programfiler\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [WinampAgent] C:\Programfiler\Winamp\winampa.exe O4 - HKLM\..\Run: [RefreshLock] C:\Documents and Settings\knut\Skrivebord\RefreshLock.exe O4 - HKLM\..\Run: [razer] C:\Programfiler\Razer\razerhid.exe O4 - HKLM\..\Run: [ATICCC] "C:\Programfiler\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\Run: [482568f8.exe] C:\WINDOWS\system32\482568f8.exe O4 - HKLM\..\Run: [b36e4835.exe] C:\WINDOWS\system32\b36e4835.exe O4 - HKLM\..\RunServices: [MSN Messages] msnmessag.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [steam] "c:\programfiler\valve\steam\steam.exe" -silent O4 - HKCU\..\Run: [MsnMsgr] "C:\Programfiler\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [Pulse] C:\Programfiler\Pulse\Pulse.exe -splash O4 - HKCU\..\Run: [bMT] C:\Programfiler\BMT MouseTracker\MouseTrack.exe O4 - HKCU\..\Run: [MSN Messages] msnmessag.exe O4 - HKCU\..\Run: [start WingMan Profiler] "C:\Programfiler\Logitech\Profiler\lwemon.exe" /noui O4 - HKCU\..\Run: [bitComet] "C:\Programfiler\BitComet\BitComet.exe" O4 - HKCU\..\Run: [482568f8.exe] C:\Documents and Settings\knut\Lokale innstillinger\Programdata\482568f8.exe O4 - HKCU\..\Run: [Orat] "C:\PROGRA~1\COMMON~1\ICROSO~1\lsass.exe" -vt yax O4 - HKCU\..\Run: [b36e4835.exe] C:\Documents and Settings\knut\Lokale innstillinger\Programdata\b36e4835.exe O4 - HKCU\..\RunServices: [MSN Messages] msnmessag.exe O4 - Global Startup: DUSuperControler.lnk = C:\Programfiler\DU Super Controler\DUSuperControler.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programfiler\Microsoft Office\Office10\OSA.EXE O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1104854749656 O20 - Winlogon Notify: winbfi32 - winbfi32.dll (file missing) O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programfiler\Fellesfiler\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programfiler\Eset\nod32krn.exe O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programfiler\Sygate\SPF\smc.exe Endret 11. juni 2006 av chokke Lenke til kommentar
berxter Skrevet 11. juni 2006 Del Skrevet 11. juni 2006 (endret) Nope, ikke helt bra ennå. Du trenger Killbox. Last ned og unzip. Start HJT igjen, velg do a scan only, sett en hake ved disse: O4 - HKLM\..\Run: [482568f8.exe] C:\WINDOWS\system32\482568f8.exe O4 - HKLM\..\Run: [b36e4835.exe] C:\WINDOWS\system32\b36e4835.exe O4 - HKCU\..\Run: [b36e4835.exe] C:\Documents and Settings\knut\Lokale innstillinger\Programdata\b36e4835.exe O20 - Winlogon Notify: winbfi32 - winbfi32.dll (file missing) Lukk alle nettleservinduer (dette også) og velg fix checked. Åpne Killbox og lim inn C:\WINDOWS\system32\482568f8.exe C:\WINDOWS\system32\b36e4835.exe C:\Documents and Settings\knut\Lokale innstillinger\Programdata\b36e4835.exe Velg delete on reboot; hvis ikke maskina rebooter automatisk gjør du det. Kjørte du Ewido? Du kan prøve samme fremgangsmåte som over på C:\PROGRA~1\COMMON~1\ICROSO~1\lsass.exe O4 - HKCU\..\Run: [Orat] "C:\PROGRA~1\COMMON~1\ICROSO~1\lsass.exe" -vt yax og Killbox på C:\PROGRA~1\COMMON~1\ICROSO~1\lsass.exe, men frykter det må sterkere lut til. Bernt K Endret 11. juni 2006 av berxter Lenke til kommentar
chokke Skrevet 11. juni 2006 Forfatter Del Skrevet 11. juni 2006 (endret) brukte ewido ja, og winbfi32 har jeg også gjort noe mot før. men prøver på det du sa etter edit nyeste loggfil: Logfile of HijackThis v1.99.1 Scan saved at 16:54:10, on 11.06.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programfiler\Sygate\SPF\smc.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programfiler\Eset\nod32kui.exe C:\Programfiler\Fellesfiler\Microsoft Shared\Works Shared\WkUFind.exe C:\Programfiler\D-Tools\daemon.exe C:\Programfiler\Winamp\winampa.exe C:\Documents and Settings\knut\Skrivebord\RefreshLock.exe C:\Programfiler\Razer\razerhid.exe C:\Programfiler\ATI Technologies\ATI.ACE\cli.exe C:\WINDOWS\system32\ctfmon.exe C:\programfiler\valve\steam\steam.exe C:\Programfiler\MSN Messenger\MsnMsgr.Exe C:\Programfiler\Pulse\Pulse.exe C:\Programfiler\BMT MouseTracker\MouseTrack.exe C:\Programfiler\Logitech\Profiler\lwemon.exe C:\Programfiler\BitComet\BitComet.exe C:\Programfiler\DU Super Controler\DUSuperControler.exe C:\Programfiler\DU Super Controler\DUSuperControler.exe C:\Programfiler\Eset\nod32krn.exe C:\WINDOWS\System32\svchost.exe C:\Programfiler\Razer\razertra.exe C:\Programfiler\Razer\razerofa.exe C:\Programfiler\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\wuauclt.exe C:\Programfiler\ATI Technologies\ATI.ACE\cli.exe C:\Programfiler\ATI Technologies\ATI.ACE\cli.exe C:\Documents and Settings\knut\Skrivebord\films\nytt\søppel\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programfiler\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [ATIPTA] "C:\ATI-CPanel\atiptaxx.exe" O4 - HKLM\..\Run: [smcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [nod32kui] "C:\Programfiler\Eset\nod32kui.exe" /WAITSERVICE O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programfiler\Fellesfiler\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [MSN Messages] msnmessag.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programfiler\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [WinampAgent] C:\Programfiler\Winamp\winampa.exe O4 - HKLM\..\Run: [RefreshLock] C:\Documents and Settings\knut\Skrivebord\RefreshLock.exe O4 - HKLM\..\Run: [razer] C:\Programfiler\Razer\razerhid.exe O4 - HKLM\..\Run: [ATICCC] "C:\Programfiler\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\RunServices: [MSN Messages] msnmessag.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [steam] "c:\programfiler\valve\steam\steam.exe" -silent O4 - HKCU\..\Run: [MsnMsgr] "C:\Programfiler\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [Pulse] C:\Programfiler\Pulse\Pulse.exe -splash O4 - HKCU\..\Run: [bMT] C:\Programfiler\BMT MouseTracker\MouseTrack.exe O4 - HKCU\..\Run: [MSN Messages] msnmessag.exe O4 - HKCU\..\Run: [start WingMan Profiler] "C:\Programfiler\Logitech\Profiler\lwemon.exe" /noui O4 - HKCU\..\Run: [bitComet] "C:\Programfiler\BitComet\BitComet.exe" O4 - HKCU\..\RunServices: [MSN Messages] msnmessag.exe O4 - Global Startup: DUSuperControler.lnk = C:\Programfiler\DU Super Controler\DUSuperControler.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programfiler\Microsoft Office\Office10\OSA.EXE O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1104854749656 O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing) O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programfiler\Fellesfiler\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programfiler\Eset\nod32krn.exe O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programfiler\Sygate\SPF\smc.exe skal C:\WINDOWS\system32\lsass.exe være der? Endret 11. juni 2006 av chokke Lenke til kommentar
zjulik Skrevet 11. juni 2006 Del Skrevet 11. juni 2006 (endret) Hey hey - har noen lagt merke til denne? O4 - HKLM\..\Run: [MSN Messages] msnmessag.exe O4 - HKLM\..\RunServices: [MSN Messages] msnmessag.exe O4 - HKCU\..\Run: [MSN Messages] msnmessag.exe O4 - HKCU\..\RunServices: [MSN Messages] msnmessag.exe Kryss av for å fikse!! Sjekk så at prossessen ikke går (ctlr alt del) - hvis den gjør, avslutt den. Fjern den så fra Windows/system32. Mer: http://www.pandasoftware.com/virus_info/en...l&idvirus=69218 Endret 11. juni 2006 av zjulik Lenke til kommentar
frank_jarle Skrevet 11. juni 2006 Del Skrevet 11. juni 2006 Har du lest de 2 linkene jeg postet tidligere, bare for å sjekke om ikke du har samme problem som jeg hadde. Hvis du har samme problem og du finner de samme filene som beskrevet i de to guidene, så tar det deg mindre enn 5min å fjerne de filene manuelt og du er kvitt problemet. Det som gjerne er problemet og som gjerne blir omtalt som de værte typene "malware" er desktop-malwaren (jeg husker desverre ikke ordrett). Vanskelige å fjerne, selv programmer som har i oppgave å fjerne disse har problemer i enkelte tilfeller. Frankie Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå