beng1 Skrevet 15. mars 2007 Del Skrevet 15. mars 2007 (endret) Jeg er redd jeg (maskinen) har dratt på meg en adware som jeg ikke klarer å kvitte meg med. Det dukker til stadighet opp reklamevinduer av forskjellig art hvor det står CiD: og noen ganger også reklameproduktnavnet oppe i venstre hjørnet. Det har også dukket opp 2 trojanske. Den ene fant jeg gjennom AVGas, og den andre (Trojan.Peacomm) tok Norton seg av når den kom. Jeg har fulgt tråden https://www.diskusjon.no/index.php?showtopic=691246, og kjørt CCleaner AVGas i sikkermodus (AVGas har jeg kjørt flere ganger tidligere, men da ikke i sikkermodus) HijackThis Jeg har også lest tråden til Paba (https://www.diskusjon.no/index.php?showtopic=731004), og legger ved HijackThis-logg og AVGas-logg. Klikk for å se/fjerne innholdet nedenfor Logfile of HijackThis v1.99.1Scan saved at 21:57:54, on 15.03.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0011) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\Explorer.EXE C:\Programfiler\Symantec\LiveUpdate\ALUSchedulerSvc.exe C:\Programfiler\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\Programfiler\Fellesfiler\Symantec Shared\ccProxy.exe C:\Programfiler\Fellesfiler\Symantec Shared\ccApp.exe C:\Programfiler\Java\jre1.5.0_10\bin\jusched.exe C:\Programfiler\Fellesfiler\Symantec Shared\ccSetMgr.exe C:\WINNT\system32\RUNDLL32.EXE C:\Programfiler\Microsoft Office\Office12\GrooveMonitor.exe C:\WINNT\system32\ctfmon.exe C:\Programfiler\Fellesfiler\Symantec Shared\DJSNETCN.exe C:\Programfiler\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\Programfiler\Internet Explorer\IEXPLORE.EXE c:\progra~1\intern~1\iexplore.exe C:\Programfiler\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe C:\Programfiler\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Programfiler\Fellesfiler\Symantec Shared\SNDSrvc.exe C:\Programfiler\Fellesfiler\Symantec Shared\SPBBC\SPBBCSvc.exe C:\WINNT\System32\svchost.exe C:\Programfiler\Fellesfiler\Symantec Shared\CCPD-LC\symlcsvc.exe C:\Programfiler\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe C:\Programfiler\Fellesfiler\Symantec Shared\ccEvtMgr.exe C:\WINNT\system32\wuauclt.exe C:\Programfiler\Fellesfiler\Symantec Shared\Security Console\NSCSRVCE.EXE C:\Programfiler\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe C:\Programfiler\Internet Explorer\IEXPLORE.EXE C:\Programfiler\Symantec\LiveUpdate\AUpdate.exe C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE C:\Program Files\HijackThis\Test.exe.exe C:\Programfiler\Norton Internet Security\Norton AntiVirus\NAVW32.EXE C:\Programfiler\Messenger\msmsgs.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startsiden.no/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koblinger O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programfiler\Java\jre1.5.0_10\bin\ssv.dll O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programfiler\Fellesfiler\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programfiler\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programfiler\Fellesfiler\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programfiler\Norton Internet Security\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [ccApp] "C:\Programfiler\Fellesfiler\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Programfiler\Java\jre1.5.0_10\bin\jusched.exe" O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programfiler\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programfiler\K-Lite Codec Pack\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Gpl heart drive wave] C:\Documents and Settings\All Users\Programdata\skipchicgplheart\Ace64.exe O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programfiler\Fellesfiler\Symantec Shared\DJSNETCN.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINNT\system32\ctfmon.exe O4 - HKCU\..\Run: [jugs 2] C:\DOCUME~1\BERNHA~1\PROGRA~1\BLUEBO~1\Soft 4 File.exe O4 - Startup: OneNote 2007 Screen Clipper og Launcher.lnk = C:\Programfiler\Microsoft Office\Office12\ONENOTEM.EXE O4 - Global Startup: hp psc 1000 series.lnk = ? O4 - Global Startup: hpoddt01.exe.lnk = ? O4 - Global Startup: Hurtigstart for Adobe Reader.lnk = C:\Programfiler\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra button: Send til OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: S&end til OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe O11 - Options group: [iNTERNATIONAL] International* O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1168161026546 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1168166634234 O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://driveragent.com/files/driveragent.cab O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programfiler\Fellesfiler\Microsoft Shared\Help\hxds.dll O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FELLES~1\MICROS~1\OFFICE12\MSOXMLMF.DLL O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINNT\system32\WPDShServiceObj.dll O23 - Service: Automatisk LiveUpdate-planlegging - Symantec Corporation - C:\Programfiler\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programfiler\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Programfiler\Norton Internet Security\ccPwdSvc.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\ccProxy.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\ccSetMgr.exe O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programfiler\Norton Internet Security\comHost.exe O23 - Service: Symantec Licensing Detect Internet Connection (DJSNETCN) - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\DJSNETCN.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: Norton AntiVirus Auto-Protect-tjeneste (navapsvc) - Symantec Corporation - C:\Programfiler\Norton Internet Security\Norton AntiVirus\navapsvc.exe O23 - Service: NBService - Nero AG - C:\Programfiler\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programfiler\Fellesfiler\Ahead\Lib\NMIndexingService.exe O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\Security Console\NSCSRVCE.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programfiler\Norton Internet Security\Norton AntiVirus\SAVScan.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\CCPD-LC\symlcsvc.exe Klikk for å se/fjerne innholdet nedenfor ---------------------------------------------------------AVG Anti-Spyware - Scan Report --------------------------------------------------------- + Created at: 21:36:40 15.03.2007 + Scan result: C:\Documents and Settings\Bernhard Ng\Cookies\bernhard_ng@tribalfusion[1].txt -> TrackingCookie.Tribalfusion : Cleaned. ::Report end Håper noen kan hjelpe meg da jeg er nærmest som analfabet å regne når det gjelder edb Hvordan skifter jeg navn på HjT, forresten? Er det bare å skifte navn på ikonet? Endret 15. mars 2007 av beng1 Lenke til kommentar
norbat Skrevet 15. mars 2007 Del Skrevet 15. mars 2007 (endret) Hei, beng1 Last ned NoLop til skrivebordet. Kjør programmet og klikk på Search and Destroy - knappen Etter en restart vil det ligge en logg: C:\NoLop txt. Den skal du poste senere. Sørg for at du kan se skjulte filer og mapper (kontrollpanel->mappealt.->vis->"vis skjulte filer og mapper") Kjør HJT, sett merke framfor følgende linje og klikk 'Fix checked': O4 - HKLM\..\Run: [Gpl heart drive wave] C:\Documents and Settings\All Users\Programdata\skipchicgplheart\Ace64.exe O4 - HKCU\..\Run: [jugs 2] C:\DOCUME~1\BERNHA~1\PROGRA~1\BLUEBO~1\Soft 4 File.exe Restart i sikker modus (Tapp F8 under oppstart, velg Sikker modus.) Bruk utforsker til å finne og slette (i fet): C:\Documents and Settings\All Users\Programdata\skipchicgplheart C:\DOCUME~1\BERNHA~1\PROGRA~1\BLUEBO~1 \ (~1 = forkortelse. Lett etter ei mappe som heter noe med BLUEBO.....) EDIT: ang. logger du skal poste - se DEL 2 Endret 15. mars 2007 av norbat Lenke til kommentar
norbat Skrevet 15. mars 2007 Del Skrevet 15. mars 2007 (endret) DEL 2 Når du har fixet det over fortsetter du med følgende: Se om du kan avinstallere CiD help fra legg til/fjern programmer (kontrollpanelet) Klikk: Start -> Kjør Skriv: C:\WINDOWS\system32\drivers\etc . Klikk OK. Dobbeltklikk på hosts-filen, og velg å åpne i notisblokk. Fjern, hvis tilstede, alle linjer med ## added by CiD Du skal i utg.pkt kun ha ei linje der det står: 127.0.0.1 localhost Etter at du har fjernet aktuelle linjer, klikker du Fil->Lagre. Last ned SAS (Free), installer og oppdater. Kjør en full scan. Last ned http://www.uploads.ejvindh.net/rootchk.exe til skrivebordet. Kjør programmet. Det lager en logg som du kopierer om den sier den har funnet noe. Post følgende logger: SAS (preferences -> statistics/logs) NoLop (c:\nolop.txt) Rootchk Trenger ikke å se flere logger fra HJT. Gi en liten statusrap. på hvordan pc'n kjører. Endret 15. mars 2007 av norbat Lenke til kommentar
beng1 Skrevet 16. mars 2007 Forfatter Del Skrevet 16. mars 2007 Takk for at du er så villig til å hjelpe, norbat! Bær over med meg om jeg kommer med håpløse spørsmål. Når jeg vil avinstallere CiD Help fra ”legg til eller fjern programmer” får jeg beskjeden: ”Det oppstod en feil under fjerning av CiD Help. Det kan hende at den allerede er avinstallert. Vil du fjerne CiD Help fra listen i legg til eller fjern programmer? Ja/nei” Skal jeg fjerne den fra listen? Tok ikke sjansen uten å spørre. Jeg finner forresten ikke CiD Help i listen til Advanced Uninstaller pro. Hva kommer det av? Når jeg skal kjøre C:\WINDOWS\system32\drivers\etc, får jeg beskjed om at ”C:\WINDOWS\system32\drivers\etc refererer til en plassering som ikke er tilgjengelig…”. Jeg fant imidlertid hosts i C:\WINNT\system32\drivers\etc. Regnet med at dette var den riktige adressen, og slettet det som var av linjer som endte med …CiD, og det var en hel del. Dette klarte jeg ikke å finne ut av før etter at jeg hadde kjørt SAS. Aner ikke om rekkefølgen her har betydning. Jeg poster logger fra SAS Klikk for å se/fjerne innholdet nedenfor SUPERAntiSpyware Scan LogGenerated 03/16/2007 at 09:44 PM Application Version : 3.6.1000 Core Rules Database Version : 3201 Trace Rules Database Version: 1212 Scan type : Complete Scan Total Scan Time : 00:46:13 Memory items scanned : 468 Memory threats detected : 0 Registry items scanned : 6984 Registry threats detected : 0 File items scanned : 34854 File threats detected : 28 Adware.Tracking Cookie C:\Documents and Settings\Bernhard Ng\Cookies\[email protected][1].txt C:\Documents and Settings\Bernhard Ng\Cookies\bernhard_ng@adultfriendfinder[2].txt C:\Documents and Settings\Bernhard Ng\Cookies\[email protected][1].txt C:\Documents and Settings\Bernhard Ng\Cookies\[email protected][1].txt C:\Documents and Settings\Bernhard Ng\Cookies\[email protected][1].txt C:\Documents and Settings\Bernhard Ng\Cookies\[email protected][2].txt C:\Documents and Settings\Bernhard Ng\Cookies\[email protected][2].txt C:\Documents and Settings\Bernhard Ng\Cookies\[email protected][2].txt C:\Documents and Settings\Bernhard Ng\Cookies\bernhard_ng@tradedoubler[1].txt C:\Documents and Settings\Bernhard Ng\Cookies\bernhard_ng@fastclick[2].txt C:\Documents and Settings\Bernhard Ng\Cookies\[email protected][2].txt C:\Documents and Settings\Bernhard Ng\Cookies\[email protected][1].txt C:\Documents and Settings\Bernhard Ng\Cookies\[email protected][2].txt C:\Documents and Settings\Bernhard Ng\Cookies\[email protected][1].txt C:\Documents and Settings\Bernhard Ng\Cookies\bernhard_ng@xiti[1].txt C:\Documents and Settings\Bernhard Ng\Cookies\[email protected][1].txt C:\Documents and Settings\Bernhard Ng\Cookies\[email protected][1].txt C:\Documents and Settings\Bernhard Ng\Cookies\[email protected][1].txt C:\Documents and Settings\Linda Ng\Cookies\[email protected][1].txt C:\Documents and Settings\Linda Ng\Cookies\[email protected][1].txt C:\Documents and Settings\Linda Ng\Cookies\[email protected][1].txt C:\Documents and Settings\Linda Ng\Cookies\linda_ng@imrworldwide[2].txt C:\Documents and Settings\Linda Ng\Cookies\[email protected][2].txt C:\Documents and Settings\Linda Ng\Cookies\linda_ng@xiti[1].txt Adware.Lop-Gen C:\RECYCLER\S-1-5-21-1848605602-3532164092-2614291962-1006\DC1\ACE64.EXE C:\RECYCLER\S-1-5-21-1848605602-3532164092-2614291962-1006\DC2\QBDKCVJN.EXE C:\RECYCLER\S-1-5-21-1848605602-3532164092-2614291962-1006\DC2\SOFT 4 FILE.EXE C:\RECYCLER\S-1-5-21-1848605602-3532164092-2614291962-1006\DC2\STUPIDNAMECREATIVE.EXE og NoLop Klikk for å se/fjerne innholdet nedenfor NoLop! Log by Skate_Punk_21 Fix running from: D:\ [16.03.2007] [20:08:29] ---Infection Files Found/Removed--- C:\WINNT\tasks\B0EA2228929DD370.job Beginning Removal... Rebooting... Removing Lop's Leftover Files/Folders... Editing Registry... **Fix Complete!** ---Listing AppData sub directories--- Rootchk fant ikke noe. Det gledelige er at jeg ikke har hat noen problemer etter at jeg fixet linjene i HJT og slettet filene i sikkermodus, så jeg håper at alt er i orden nå . Spennende å høre om du har noen kommentarer til loggene. Takk for hjelpen så langt! Lenke til kommentar
norbat Skrevet 16. mars 2007 Del Skrevet 16. mars 2007 Meget bra utført dette, beng1 Ang. Hosts-filen. Du har selvfølgelig helt rett. Riktig adresse var: C:\WINNT\system32\drivers\etc CiD kan du fjerne fra listen, ja. Du kan laste ned CCleaner. Start programmet. Gå til 'Valg'->'Avansert'. Fjern avkryssingen framfor: "bare slett midlertidige filer......." Klikk på 'Renser' og deretter 'Kjør CCleaner'. Kjør også noen runder med 'Saker'. Dette gjør at du får fjernet temp-filer m.fl. Du bør nullstille gjenopprettingsmappa slik at du ikke blir infisert ved en evt. systemgjenoppretting. Kontrollpanel->system->systemgjenoppretting . Sett merke framfor "Slå av .....", restart pc, fjern merket igjen for å aktivere funksjonen. Etterpå lager du deg et gjenopprettingspunkt manuelt Tilbehør->systemverktøy->systemgjenoppretting . Velg å opprette et nytt. Navgi det og klikk opprett. Får du spywareproblemer ved et senere tidspunkt, vet du hvor du finner oss Lenke til kommentar
beng1 Skrevet 16. mars 2007 Forfatter Del Skrevet 16. mars 2007 Takk for fantastisk god hjelp med detaljerte beskrivelser og for en utrolig rask respons! Håper jeg slipper å komme tilbake med denne typen problemer. Får vel prøve å være litt mer forsiktig/kritisk heretter! Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå