Fin Skjorte Skrevet 26. november 2006 Del Skrevet 26. november 2006 Heisann! Får til tider popup meldinger fra errorsafe. Har kjørt bl.a. Norman, Panda, CC, Spybot, Adaware. Og ingen av disse finner det. I tillegg så får jeg ikke noe melding fra de når jeg surfer på "kjente" sider som db.no, vg.no etc etc men helst jalla sider fra det store utland. Bruker firefox, og har popup blokkeren på, uten unntak. Så det jeg lurer på er om det er grunn for meg å anta at maskinen er infisert, eller at det bare er disse jalla-sidene som fremprovoserer popup'n? Uansett legger med en HJT-logg. Klikk for å se/fjerne innholdet nedenfor Logfile of HijackThis v1.99.1Scan saved at 23:30:10, on 26.11.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programfiler\Ahead\InCD\InCDsrv.exe C:\Programfiler\Intel\Wireless\Bin\EvtEng.exe C:\Programfiler\Intel\Wireless\Bin\S24EvMon.exe C:\Programfiler\Intel\Wireless\Bin\WLKeeper.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Norman\bin\ZLH.EXE C:\WINDOWS\system32\rundll32.exe C:\Programfiler\Apoint\Apoint.exe C:\Programfiler\Intel\Wireless\bin\ZCfgSvc.exe C:\Programfiler\Intel\Wireless\Bin\ifrmewrk.exe C:\Programfiler\Dell\QuickSet\quickset.exe C:\WINDOWS\system32\ctfmon.exe C:\Programfiler\Logitech\SetPoint\SetPoint.exe C:\Programfiler\Fellesfiler\Logitech\KHAL\KHALMNPR.EXE C:\Programfiler\Apoint\Apntex.exe C:\Programfiler\Apoint\HidFind.exe C:\Programfiler\Fellesfiler\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programfiler\Dell\QuickSet\NICCONFIGSVC.exe C:\Norman\Bin\Zanda.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programfiler\Intel\Wireless\Bin\RegSrvc.exe C:\WINDOWS\system32\wdfmgr.exe C:\Programfiler\RealVNC\VNC4\WinVNC4.exe C:\Norman\Nvc\bin\nvcoas.exe C:\Norman\Nvc\BIN\NIP.EXE C:\WINDOWS\system32\wbem\wmiprvse.exe C:\Norman\bin\NJEEVES.EXE C:\Norman\Nvc\BIN\NVCSCHED.EXE C:\Norman\Nvc\BIN\nipsvc.exe C:\WINDOWS\System32\alg.exe C:\Norman\Nvc\bin\cclaw.exe C:\Programfiler\Intel\Wireless\Bin\Dot1XCfg.exe C:\WINDOWS\explorer.exe C:\Programfiler\Mozilla Firefox\firefox.exe E:\Programmer\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startsiden.no/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koblinger O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programfiler\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programfiler\Java\jre1.5.0_06\bin\ssv.dll O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\bin\ZLH.EXE /LOAD /SPLASH O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NVHotkey] rundll32.exe nvHotkey.dll,Start O4 - HKLM\..\Run: [Apoint] C:\Programfiler\Apoint\Apoint.exe O4 - HKLM\..\Run: [intelZeroConfig] "C:\Programfiler\Intel\Wireless\bin\ZCfgSvc.exe" O4 - HKLM\..\Run: [intelWireless] "C:\Programfiler\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless O4 - HKLM\..\Run: [Dell QuickSet] C:\Programfiler\Dell\QuickSet\quickset.exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Programfiler\Logitech\SetPoint\SetPoint.exe O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Oppslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe O16 - DPF: {01A88BB1-1174-41EC-ACCB-963509EAE56B} (SysProWmi Class) - http://support.euro.dell.com/systemprofiler/SysPro.CAB O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1160746312208 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1163335080718 O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programfiler\Intel\Wireless\Bin\EvtEng.exe O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programfiler\Ahead\InCD\InCDsrv.exe O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programfiler\Dell\QuickSet\NICCONFIGSVC.exe O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Norman\Nvc\BIN\nipsvc.exe O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\bin\NJEEVES.EXE O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\Bin\Zanda.exe O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Norman\Nvc\bin\nvcoas.exe O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\Norman\Nvc\BIN\NVCSCHED.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programfiler\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Intel® PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programfiler\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programfiler\RealVNC\VNC4\WinVNC4.exe" -service (file missing) O23 - Service: Intel® PROSet/Wireless SSO Service (WLANKEEPER) - Intel® Corporation - C:\Programfiler\Intel\Wireless\Bin\WLKeeper.exe Lenke til kommentar
frgmnt Skrevet 27. november 2006 Del Skrevet 27. november 2006 (endret) Jeg får det samme! Det kommer opp spørsmål om jeg vil installere ErrorSafe og scanne maskinen. I går fikk jeg en melding som virket ganske useriøs, da det sto noe om at jeg hadde vært på diverse "voksen-sider" (ja, det sto faktisk det). Maskinen min har nettopp vært infisert med noen trojanske hester, men jeg ved hjelp av norbat her på forumet forhåpentligvis fått dette fjernet. Endret 27. november 2006 av frgmnt Lenke til kommentar
norbat Skrevet 27. november 2006 Del Skrevet 27. november 2006 Loggen viser ingen spor etter errorsafe, så det er nok disse 'jalla' sidene som genererer dette i håp om at noen klikker. En rens med CCleaner samt en full scan med SAS er alltid en grei rutine Lenke til kommentar
Fin Skjorte Skrevet 27. november 2006 Forfatter Del Skrevet 27. november 2006 Takk for svar! Skal prøve med SAS! CC tar jeg jevnlig allerede! PS: en jalla side er ikke voksen side! ofte er det sider vi ikke har lovt til å snakke om her! Lenke til kommentar
Znoken Skrevet 27. november 2006 Del Skrevet 27. november 2006 Ville sjekket de 2 nedenfor...Disse kom opp når man kjørte en analyse på loggen din... C:\Programfiler\Intel\Wireless\Bin\WLKeeper.exe running process. (WLKeeper.exe) This entry is not running from the System32 folder, so it is probably nasty.. O23 - Service: Intel® PROSet/Wireless SSO Service (WLANKEEPER) - Intel® Corporation - C:\Programfiler\Intel\Wireless\Bin\WLKeeper.exe This entry is not running from the System32 folder, so it is probably nasty. Lenke til kommentar
ilpostino Skrevet 27. november 2006 Del Skrevet 27. november 2006 her er litt info om errorsafe ErrorSafe er et program som utgir seg for å være et sikkerhets program for fjerning av spyware. Dette er langt fra sannheten... ErrorSafe er et spy-/ad-ware som prøver å overbevise deg om at du trenger programmet for å fjerne div. sikkerhetstrusler fra maskinen. Sannheten er at programmet installerer spy- og ad-ware på din maskin, skaper problemer og popper opp med reklame, mm. Her er link til symantec og hvordan de anbefaler at en fjerner det. Lenke til kommentar
Fin Skjorte Skrevet 27. november 2006 Forfatter Del Skrevet 27. november 2006 Ville sjekket de 2 nedenfor...Disse kom opp når man kjørte en analyse på loggen din... C:\Programfiler\Intel\Wireless\Bin\WLKeeper.exe running process. (WLKeeper.exe) This entry is not running from the System32 folder, so it is probably nasty.. O23 - Service: Intel® PROSet/Wireless SSO Service (WLANKEEPER) - Intel® Corporation - C:\Programfiler\Intel\Wireless\Bin\WLKeeper.exe This entry is not running from the System32 folder, so it is probably nasty. 7369160[/snapback] Jeg vet om de to! De er legitime. Grunnen til det blir reagert mot disse er nettopp det at de ikke blir kjørt fra \\system32 mappen, men at jeg har lagt de andre steder. Lenke til kommentar
Fin Skjorte Skrevet 27. november 2006 Forfatter Del Skrevet 27. november 2006 Nå kjørte jeg en runde med SAS! Fant tre nye trusler, bla annet i system restore! Forhåpentligvis har jeg en ren og pen maskin nå! Takk for hjelpen! Lenke til kommentar
norbat Skrevet 27. november 2006 Del Skrevet 27. november 2006 For å gjøre en ekstra rens, kan du slå av systemgjenopprettingen, restarte og slå den på igjen, for så å lage deg et nytt gjenopprettingspkt. manuelt. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå