Fin Skjorte Skrevet 12. september 2006 Del Skrevet 12. september 2006 Heisann, Normalt bruker jeg Firefox, men når jeg sjekker mailen min via MSN Live Messenger så åpnes hotmailkontoen min i IE. Og da kommer det opp en annonse for WinAntivirus, som skal "hjelpe" meg med å holde maskinen frisk og fin! Når jeg da scaner pc'n med spybot finner jeg problemmet og får det tilsynelatende fikset det der, men det kommer tilbake igjen. Da er det cookies hos winantivirus.com Har vært over maskinen med HiJackThis, mens vinduet for WinAntiVirus er fremme, uten å finne noen prosess omkring det. Dog hadde jeg noen prosesser som gikk rett før helgen som jeg fikk slettet i c:\windows\system32 mappen, som jeg forstod dithen å være nettopp dette problemmet. De het noe ala ismine.exe og iss***.exe. Disse er nå vekke. Videre har jeg gått over med CCleaner, AVG, Spybot, Adaware. Likefullt kommer disse popup'ene frem nå! Håper jeg har vært uttømmende nok, og at noen har en eller flere gode ideer til meg! Thx Lenke til kommentar
Pozzolan Skrevet 12. september 2006 Del Skrevet 12. september 2006 Ta ett par online virus scan og prøv å se om SmitFraudFix finner noe. Se link i signatur for guide. Lenke til kommentar
Fin Skjorte Skrevet 12. september 2006 Forfatter Del Skrevet 12. september 2006 Hei igjen! Scannet maskinen med HouseCall, hvor jeg fant noen flere problemmer. Bl.a. kom det noe som het "adw.cydoor.c" Jeg finner ikke noe om akkuratt den versjonen, men "adw.cydoor.A" var vistnok en kjent trussel. Den legger igjen en fil som heter "cd_clint.dll" Når jeg nå søker min maskin finner jeg den i ..\Spybot - Search & Destroy\Dummies mappen. Hele betengnelsen er dummy.cd_clint.dll. Litt usikker på om jeg bare skal slette den siden den ligger \spybot..\ Lenke til kommentar
Pozzolan Skrevet 12. september 2006 Del Skrevet 12. september 2006 Tror at Spybot har tatt den i en slags karantene så du kan nok slette den ja. Lenke til kommentar
Fin Skjorte Skrevet 12. september 2006 Forfatter Del Skrevet 12. september 2006 Slettet ikke filen, men jeg tok en scan med ewido i sikkerhetsmodus. Den fant an greie som het "Adware.Virtumionde" og som lå i system32 mappen under benevnelsen ssqoml.dll. Fikset den og, nå er jeg WinAntiVirus.com fri! Håper det var det som gjaldt og at maskinen vil forbli frisk! Takk for hjelpen stealthy! Lenke til kommentar
Fin Skjorte Skrevet 12. september 2006 Forfatter Del Skrevet 12. september 2006 Hehe! Og et minutt etterpå så ble jeg presentert for potensielle nye jenter i byen min! Av den lettkledde sorten.... Prøver meg på SmithFraudFix også jeg nå! Lenke til kommentar
Pozzolan Skrevet 12. september 2006 Del Skrevet 12. september 2006 Gjør det du Hvis du fortsatt har problemer vil jeg se en hijackthis logg. Lenke til kommentar
Fin Skjorte Skrevet 12. september 2006 Forfatter Del Skrevet 12. september 2006 Nå har jeg tatt en runde med Panda og SFF. Ser ut til å ha tatt knekken på det jeg ville bli kvitt! Men jeg tar vel kanskje ikke sjansen på å juble for tidlig... Uansett legger jeg ved en HJT-log. Skjult tekst: (Marker innholdet i feltet for å se teksten): Logfile of HijackThis v1.99.1Scan saved at 19:11:32, on 12.09.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe C:\Programfiler\Juniper Networks\Common Files\dsNcService.exe C:\Programfiler\Dell\QuickSet\NICCONFIGSVC.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programfiler\CyberLink\Shared Files\RichVideo.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programfiler\Dell\QuickSet\quickset.exe C:\Programfiler\Apoint\Apoint.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe C:\Programfiler\Apoint\HidFind.exe C:\Programfiler\Apoint\Apntex.exe C:\Programfiler\MSN Messenger\msnmsgr.exe C:\WINDOWS\system32\svchost.exe C:\ProgDownloads\HijackThis.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Dell QuickSet] C:\Programfiler\Dell\QuickSet\quickset.exe O4 - HKLM\..\Run: [Apoint] C:\Programfiler\Apoint\Apoint.exe O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Oppslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe O16 - DPF: {01A88BB1-1174-41EC-ACCB-963509EAE56B} (SysProWmi Class) - https://support.euro.dell.com/systemprofiler/SysPro.CAB O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.5) - http://housecall65.trendmicro.com/housecal...ivex/hcImpl.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1146259250788 O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O16 - DPF: {A89551E8-992E-48D0-A90C-3E78CF66B217} - http://housecall65.trendmicro.com/housecal...ivex/hcImpl.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab O16 - DPF: {E5F5D008-DD2C-4D32-977D-1A0ADF03058B} (JuniperSetup Control) - https://secure.privnett.nhh.no/dana-cached/...uniperSetup.cab O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe O23 - Service: Juniper Network Connect Service (dsNcService) - Juniper Networks - C:\Programfiler\Juniper Networks\Common Files\dsNcService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programfiler\Fellesfiler\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programfiler\Dell\QuickSet\NICCONFIGSVC.exe O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Norman\Nvc\BIN\nipsvc.exe (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programfiler\CyberLink\Shared Files\RichVideo.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programfiler\TuneUp Utilities 2006\WinStylerThemeSvc.exe Ang Juniper Network punktene er det for VNP'n på skolen. Men et spm ang panda og housecall prosessene, er det likegreit å bare kvitte seg med de i HJT? Lenke til kommentar
Pozzolan Skrevet 12. september 2006 Del Skrevet 12. september 2006 Men et spm ang panda og housecall prosessene, er det likegreit å bare kvitte seg med de i HJT? Hvis du mener O16 oppføringene så er det bare å kvitte seg med dem ja. Alle O16 er ActiveX kontroller. Eller så ser jeg ikke noe galt med loggen. Du kan slette O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Norman\Nvc\BIN\nipsvc.exe (file missing) hvis du vil. Hvis du fortsatt har problemer så er det bare å poste! Lenke til kommentar
Fin Skjorte Skrevet 12. september 2006 Forfatter Del Skrevet 12. september 2006 (endret) Takk for det, og takk for veiledningen så langt! Gjeldende O16 og Norman oppføringen er fisket. Nå virker det som at ting faktisk er på stell! Så får bare håpe at det vil vedvare! Endret 12. september 2006 av js79 Lenke til kommentar
Fin Skjorte Skrevet 16. september 2006 Forfatter Del Skrevet 16. september 2006 Og der var den tilbake! Etter å nesten ikke brukt maskinen på flere dager så kom det samme problemet opp igjen. Scannet med Spybot som fant cookieser, og fikset de, men problemet vedvarer. Vil det være en evnt ide å avinstallere IE? Siden det virker som det er det som trigger det. Lenke til kommentar
Pozzolan Skrevet 16. september 2006 Del Skrevet 16. september 2006 Hmm.. Kan du bruke samme framgangsmåten du brukte sist og slå av system restore før du begynner? Kan være at Errorsafe gjemte seg der. Lenke til kommentar
Fin Skjorte Skrevet 16. september 2006 Forfatter Del Skrevet 16. september 2006 hmm... som sagt har jeg ikke brukt maskinen noe særlig de siste dagene, og da kun på "sikre" sider... type db.no etc. jeg skiftet fra norton til avg rett i forkant for forrige runde. Lurer på om det kan ha utløst problemet mens jeg var uten noen AV. Jeg mener bestemt å huske at jeg slettet karantene filene i norton, i det jeg avinstallerte NAV Lenke til kommentar
Pozzolan Skrevet 16. september 2006 Del Skrevet 16. september 2006 Prøv dette: 1.Slå av System Restore 2.Ewido i sikkerhetsmodus System restore finner du i guiden min. Lenke til kommentar
Fin Skjorte Skrevet 16. september 2006 Forfatter Del Skrevet 16. september 2006 Prøv dette: 1.Slå av System Restore 2.Ewido i sikkerhetsmodus System restore finner du i guiden min. 6874770[/snapback] ok, will do! Lenke til kommentar
Fin Skjorte Skrevet 16. september 2006 Forfatter Del Skrevet 16. september 2006 Nå er det gjort. Uten resultat. J@&%¤#¤¤%"%&"#&%"¤#%& WinAntiVirus er der enda....... Skrudde på system restore igjen.. Lenke til kommentar
Pozzolan Skrevet 16. september 2006 Del Skrevet 16. september 2006 Ber om Hijackthis logg. Ta også online virusscan. Lenke til kommentar
Fin Skjorte Skrevet 16. september 2006 Forfatter Del Skrevet 16. september 2006 (endret) HJT-log Skjult tekst: (Marker innholdet i feltet for å se teksten): Logfile of HijackThis v1.99.1Scan saved at 17:02:54, on 16.09.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programfiler\Dell\QuickSet\quickset.exe C:\Programfiler\Apoint\Apoint.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe C:\Programfiler\My Book\WD Backup\uBBMonitor.exe C:\Programfiler\Apoint\HidFind.exe C:\Programfiler\Apoint\Apntex.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe C:\Programfiler\Juniper Networks\Common Files\dsNcService.exe C:\Programfiler\Dell\QuickSet\NICCONFIGSVC.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programfiler\CyberLink\Shared Files\RichVideo.exe C:\WINDOWS\System32\svchost.exe C:\Programfiler\MSN Messenger\msnmsgr.exe C:\ProgDownloads\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.option.no/ O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Dell QuickSet] C:\Programfiler\Dell\QuickSet\quickset.exe O4 - HKLM\..\Run: [Apoint] C:\Programfiler\Apoint\Apoint.exe O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP O4 - Global Startup: WD Backup Monitor.lnk = C:\Programfiler\My Book\WD Backup\uBBMonitor.exe O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Oppslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe O16 - DPF: {01A88BB1-1174-41EC-ACCB-963509EAE56B} (SysProWmi Class) - https://support.euro.dell.com/systemprofiler/SysPro.CAB O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1146259250788 O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab O16 - DPF: {E5F5D008-DD2C-4D32-977D-1A0ADF03058B} (JuniperSetup Control) - https://secure.privnett.nhh.no/dana-cached/...uniperSetup.cab O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe O23 - Service: Juniper Network Connect Service (dsNcService) - Juniper Networks - C:\Programfiler\Juniper Networks\Common Files\dsNcService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programfiler\Fellesfiler\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programfiler\Dell\QuickSet\NICCONFIGSVC.exe O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Norman\Nvc\BIN\nipsvc.exe (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programfiler\CyberLink\Shared Files\RichVideo.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programfiler\TuneUp Utilities 2006\WinStylerThemeSvc.exe Finner en mappen som høres(!) scam ut-- //C:\WINDOWS\PCHealth Prøvde å google den opp, men altfor mangfoldig resultat.. Er det standard xp? Edit; Jeg ser McAfee advarer mot ting som ligger i denne mappen, og dessuten finner jeg ikke noe info om det hos ms.no Endret 16. september 2006 av js79 Lenke til kommentar
Pozzolan Skrevet 16. september 2006 Del Skrevet 16. september 2006 (endret) Jeg har mappen Windows\PCHealth også. Den inneholder 3 mapper: UploadLB HelpCtr og ERRORREP så tror ikke det er noe galt med den. Jeg ser liksom ikke noe galt i loggen. Errorsafe har begynt å bli smartere nå Ta online virus scan. Ser ut som at det er siste løsning. Endret 16. september 2006 av stealthy Lenke til kommentar
Fin Skjorte Skrevet 18. september 2006 Forfatter Del Skrevet 18. september 2006 Hei igjen! Nå har jeg installert Norman og den finner "W32/Vundo.gen1" som er en reklame patch. Den ligger i banen ..\system32\gebyy.dll Har nå renset den og håper det var det! Jeg har også installert Process Explorer, og den finner en sak som heter wmiprvs.exe. Den er helt umulig å stanse da den dublikerer seg. Eieren til prosessen er NT-MYNDIGHET. Det ser ikke ut som det var W32/Vundo.gen1 som startet den prosessen da den fortsatt er tilstede. Den har tilsynelatende åtte ulike startaddresser. Tenkte å ta en scan i sikkerhetsmodus, men maskinen ville ikke starte den. Forhåpentligvis pga av Systemgjennoppretning var skrudd av. Vi får se hva som skjer, men begynner å bli lei av å bruke tid på dette nå... En formatering nærmer seg! Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå