Evil-Duck Skrevet 15. juli 2006 Del Skrevet 15. juli 2006 Hei! jeg bruker spyware doctor og Spybot som anti spyware program. det er et litt nokså frustrendes problem her , Jeg søker gjenom PCen med disse programene å så finner spyware doctor en trojaner og spybot noe med samme navnet. det er greit det så jeg fjerner det men hver gang jeg reboter maskina å søker så finner de akkurat den samme trojaneren . Og det som er det merkeligeste er at denne maskinen er helt ny og at den gamle maskinen hadde akkurat samme feilen... Jeg har og prøvd å formatere hele dataen men de er der fortsatt Lenke til kommentar
aspic Skrevet 15. juli 2006 Del Skrevet 15. juli 2006 (endret) Om du har foretatt en vellykka formatering av harddisken så må det vel være borte. Har du flere harddisker, evt. en du putta inn fra den gamle pc'n inn i den nye? Da kan trojaneren ha kommet seg inn den veien. Eller en trojaner som sprer seg via det lokale nettverket (flere pc'r i huset som er kobla opp mot en switch) ? Mitt forslag er å boote pc'n i safemodus for så å kjøre spybot programmene. Deretter gjør du det samme på dei andre pc'ne i huset ditt om du har fler.. Endret 15. juli 2006 av aspic Lenke til kommentar
PerB Skrevet 15. juli 2006 Del Skrevet 15. juli 2006 (endret) ... å så finner spyware doctor en trojaner og spybot noe med samme navnet. ...6495479[/snapback] Har du navnet på trojaneren? Slik at vi kan søke på nettet og finne ut hva den gjør, hvordan den sprer seg og hvordan den gjemmer seg. Hva bruker du for å fjerne virus? Endret 15. juli 2006 av PerB Lenke til kommentar
berxter Skrevet 15. juli 2006 Del Skrevet 15. juli 2006 Og mitt forslag er å laste ned HijackThis fra f eks www.merijn.org og lime inn en logg derfra i neste innlegg her; så ser vi hva det er du har og kan komme med spesifikke tiltak. Bernt K Lenke til kommentar
Evil-Duck Skrevet 15. juli 2006 Forfatter Del Skrevet 15. juli 2006 Logfile of HijackThis v1.99.1 Scan saved at 16:10:37, on 16.07.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programfiler\Eset\nod32krn.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programfiler\Spyware Doctor\sdhelp.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\alg.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programfiler\NVIDIA Corporation\NvMixer\NVMixerTray.exe C:\Programfiler\QuickTime\qttask.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programfiler\Logitech\G-series Software\LGDCore.exe C:\Programfiler\Logitech\G-series Software\LCDMon.exe C:\Programfiler\DAEMON Tools\daemon.exe C:\Programfiler\iTunes\iTunesHelper.exe C:\Programfiler\Eset\nod32kui.exe C:\Programfiler\Java\jre1.5.0_06\bin\jusched.exe C:\Programfiler\Logitech\G-series Software\Applets\LCDMedia.exe C:\Programfiler\Logitech\G-series Software\Applets\LCDClock.exe C:\WINDOWS\system32\ctfmon.exe C:\Programfiler\iPod\bin\iPodService.exe C:\Programfiler\3COM Technology Corporation\3COM Wireless USB Utility\Wlan.exe C:\Programfiler\MSN Messenger\MsnMsgr.Exe C:\Programfiler\Steam\Steam.exe C:\Programfiler\Messenger\msmsgs.exe C:\WINDOWS\system32\svchost.exe C:\Programfiler\iTunes\iTunes.exe C:\Programfiler\Mozilla Firefox\firefox.exe C:\Documents and Settings\Jan-Ove Berge\Skrivebord\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koblinger O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programfiler\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programfiler\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NVMixerTray] "C:\Programfiler\NVIDIA Corporation\NvMixer\NVMixerTray.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programfiler\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programfiler\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programfiler\Logitech\G-series Software\LCDMon.exe" O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programfiler\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [iTunesHelper] "C:\Programfiler\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [nod32kui] "C:\Programfiler\Eset\nod32kui.exe" /WAITSERVICE O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Programfiler\Java\jre1.5.0_06\bin\jusched.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [3COM] C:\Programfiler\3COM Technology Corporation\3COM Wireless USB Utility\Wlan.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programfiler\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [steam] "C:\Programfiler\Steam\Steam.exe" -silent O4 - HKCU\..\Run: [MSMSGS] "C:\Programfiler\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [EA Core] C:\Programfiler\Electronic Arts\EA Downloader\Core.exe -silent O4 - Global Startup: Hurtigstart for Adobe Reader.lnk = C:\Programfiler\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programfiler\Microsoft Office\Office10\OSA.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programfiler\Fellesfiler\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1137417613093 O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programfiler\Fellesfiler\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programfiler\iPod\bin\iPodService.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programfiler\Eset\nod32krn.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programfiler\Spyware Doctor\sdhelp.exe Lenke til kommentar
Evil-Duck Skrevet 15. juli 2006 Forfatter Del Skrevet 15. juli 2006 der var logg filen som jeg ikke finner noe galt i da Lenke til kommentar
berxter Skrevet 15. juli 2006 Del Skrevet 15. juli 2006 Og det gjør ikke jeg heller.. hmmm... Hva kaller Spybot og SD svineriet? Bernt K Lenke til kommentar
PerB Skrevet 15. juli 2006 Del Skrevet 15. juli 2006 ... å så finner spyware doctor en trojaner og spybot noe med samme navnet. ...6495479[/snapback] Har du navnet på trojaneren? Slik at vi kan søke på nettet og finne ut hva den gjør, hvordan den sprer seg og hvordan den gjemmer seg. Hva bruker du for å fjerne virus? 6495716[/snapback] Vi venter fortsatt på svaret ditt. Lenke til kommentar
EviLEddiE Skrevet 15. juli 2006 Del Skrevet 15. juli 2006 Den eneste spywaren jeg kommer på som har det samme mønsteret med at det gjenoppretter seg selv etter man har tilsynelatende slettet det, er Aurora. Jeg hadde et sant helvete med å slette denne, helt til jeg fant ut at man måtte starte i sikkermodus med kommandolinje for å kunne fjerne f**nskapet helt. Kan det være dette? Se etter følgende filer: DrPMon.dll svcproc.exe Nail.exe poller.exe aurora.exe Lenke til kommentar
berxter Skrevet 15. juli 2006 Del Skrevet 15. juli 2006 Kan det være dette? Se etter følgende filer: DrPMon.dll svcproc.exe Nail.exe poller.exe aurora.exe 6497110[/snapback] Alle disse skulle vi ha sett i HijackThisloggen, dessverre. Bernt K Lenke til kommentar
Evil-Duck Skrevet 15. juli 2006 Forfatter Del Skrevet 15. juli 2006 jeg bruker spyware doctor og dette er det jeg ikke får fjernet http://www.pctools.com/en/mrc/infections/id/Virtumonde/ Lenke til kommentar
berxter Skrevet 15. juli 2006 Del Skrevet 15. juli 2006 (endret) Virtumondo? Jeg ser ingen tegn til den her.. Vel, du kan kjøre VundoFix; den er spesiallaget for den slags: http://www.majorgeeks.com/download4954.html Vennligst gi melding dersom den finner svineriet.. Forresten: Hvor sier SpyBot og SD at infeksjonen er? Ligger den i en system_restorefil? Bernt K Endret 15. juli 2006 av berxter Lenke til kommentar
Evil-Duck Skrevet 15. juli 2006 Forfatter Del Skrevet 15. juli 2006 (endret) Nix fant ingenting men jeg fant en mappe som ser ut til å vere tom i programfilene som nekter å la seg fjerne som kaller seg Xerox. Edit : Xerox skulle vist være der. Endret 15. juli 2006 av evilduck91 Lenke til kommentar
berxter Skrevet 15. juli 2006 Del Skrevet 15. juli 2006 Jeg gjentar siste spørsmålet mitt: Hvor sier Spybot og SD at svineriet ligger? Bernt K Lenke til kommentar
Evil-Duck Skrevet 15. juli 2006 Forfatter Del Skrevet 15. juli 2006 Jeg gjentar siste spørsmålet mitt: Hvor sier Spybot og SD at svineriet ligger? Bernt K 6498174[/snapback] I system 32 mappen... har ikke så veldig lyst å røre noe der Lenke til kommentar
berxter Skrevet 15. juli 2006 Del Skrevet 15. juli 2006 OK; gjør følgende: last ned og kjør ccleaner (google) Fjern haka i advanced options for "only remove files older than 48 hours" Last ned og kjør Ewido i sikker modus (f8 under oppstart) Kjør en Panda Activescan (husk see report og save report) Google er din venn Legg ut loggene fra Ewido og Panda. Husk å kjøre ccleaner først, eller så får vi side opp og ned med cookies som er fikset. Bernt K Lenke til kommentar
Evil-Duck Skrevet 15. juli 2006 Forfatter Del Skrevet 15. juli 2006 OK; gjør følgende:last ned og kjør ccleaner (google) Fjern haka i advanced options for "only remove files older than 48 hours" Last ned og kjør Ewido i sikker modus (f8 under oppstart) Kjør en Panda Activescan (husk see report og save report) Google er din venn Legg ut loggene fra Ewido og Panda. Husk å kjøre ccleaner først, eller så får vi side opp og ned med cookies som er fikset. Bernt K 6498300[/snapback] Skal gjøre dette i morgen. Nå tar jeg kveld Lenke til kommentar
Evil-Duck Skrevet 16. juli 2006 Forfatter Del Skrevet 16. juli 2006 (endret) Incident Status Location Spyware:Cookie/Tradedoubler Not disinfected C:\Documents and Settings\Jan-Ove Berge\Cookies\jan-ove berge@tradedoubler[1].txt det var Panda Activescan Ewido fant ingenting og poster NOD32 : såg der sto en del epost adresser der så fjerner den Endret 17. juli 2006 av evilduck91 Lenke til kommentar
Evil-Duck Skrevet 16. juli 2006 Forfatter Del Skrevet 16. juli 2006 sukk... nå kommer poppup vinduer menst jeg spiller og Lenke til kommentar
berxter Skrevet 16. juli 2006 Del Skrevet 16. juli 2006 Ser ingen ting som tyder på en infeksjon av noe slag, så vi må kanskje lete etter andre årsaker. NOD-loggen viser heller ikke innslag av noe gruff. Kan du fjerne Daemon og se etter om det hjelper? Det er ikke helt ukjent at deler av den kan skape konflikter. Popupvinduene du får mens du spiller: Fra hvilket program kommer de? Hva sier de? Bernt K Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå