norbat Skrevet 18. april 2007 Del Skrevet 18. april 2007 Avinstaller fra legg til/fjern programmer: Date Manager GMT PrecisionTime Kjør HJT, sett merke framfor følgende linjer og klikk 'Fix checked': O2 - BHO: MSN Search Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programfiler\MSN Toolbar Suite\TB\02.05.0000.1105\nb-no\msntb.dll (file missing) O3 - Toolbar: MSN Search Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programfiler\MSN Toolbar Suite\TB\02.05.0000.1105\nb-no\msntb.dll (file missing) O4 - Global Startup: Date Manager.lnk = C:\Programfiler\Date Manager\DateManager.exe O4 - Global Startup: GStartup.lnk = C:\Programfiler\Fellesfiler\GMT\GMT.exe O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Programfiler\MyWebSearch\bar\1.bin\MWSOEMON.EXE O4 - Global Startup: PrecisionTime.lnk = C:\Programfiler\PrecisionTime\PrecisionTime.exe O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZSzeb029YYNO_ZS O8 - Extra context menu item: Web Rebates - file://C:\Programfiler\Web_Rebates\Sy1150\Tp1150\scri1150a.htm O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php...d9d6f067011f31e O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwe...etup1.0.0.8.exe O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://www.popcap.com/games/popcaploader_v6.cab O20 - Winlogon Notify: winstr32 - winstr32.dll (file missing) Sørg for at du kan se skjulte filer og mapper (kontrollpanel->mappealt.->vis->"vis skjulte filer og mapper") Restart i sikker modus (tapp F8 under oppstart) Bruk utforsker til å finne og slette (i fet): C:\Programfiler\Date Manager C:\Programfiler\Fellesfiler\GMT C:\Programfiler\MyWebSearch C:\Programfiler\PrecisionTime C:\Programfiler\Web_Rebates Restart i normal tilstand Kjør på nytt Combofix og post loggen sammen med en ny HJT-logg. (Hvis du vil legge loggene i 'Skjul', klikker du på 'SKJUL'-knappen i teksteditoren og limer inn loggen der.) Lenke til kommentar
Programvare Skrevet 18. april 2007 Forfatter Del Skrevet 18. april 2007 (endret) Har gjort alt nå. Combofix-logg Klikk for å se/fjerne innholdet nedenfor "Roger" - 07-04-18 23:08:42 Service Pack 2 ComboFix 07-04-19V - Running from: C:\Documents and Settings\Roger\ ((((((((((((((((((((((((((((((( Files Created from 2007-03-18 to 2007-04-18 )))))))))))))))))))))))))))))))))) 2007-04-18 19:06 0 --a------ C:\WINNT\system32\CMMGR32.EXE 2007-04-18 18:57 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\PROGRA~1\SUPERAntiSpyware.com 2007-04-18 18:24 <DIR> dr-h----- C:\DOCUME~1\Roger\Siste 2007-04-18 17:33 <DIR> d-------- C:\Programfiler\CCleaner 2007-04-18 16:22 <DIR> d-------- C:\Programfiler\MPD 2007-04-05 08:37 <DIR> d-------- C:\Programfiler\QuickTime 2007-04-04 20:47 <DIR> d-------- C:\Programfiler\Opera (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-04-18 19:06 -------- d-------- C:\Programfiler\wireless 802.11g monitor 2007-04-10 20:16 -------- d-------- C:\Programfiler\msn messenger 2007-04-05 08:42 -------- d-------- C:\Programfiler\itunes 2007-04-05 08:42 -------- d-------- C:\Programfiler\ipod 2007-03-31 08:33 60326 --a------ C:\WINNT\system32\perfc014.dat 2007-03-31 08:33 384784 --a------ C:\WINNT\system32\perfh014.dat 2007-03-26 23:06 2560 --a--c--- C:\WINNT\system32\bitcometres.dll 2007-03-19 23:13 -------- d--h----- C:\Programfiler\installshield installation information 2007-03-17 15:45 292864 --a------ C:\WINNT\system32\winsrv.dll 2007-03-10 15:23 -------- d-------- C:\Programfiler\digital guitar tuner 2007-03-10 12:05 -------- d-------- C:\Programfiler\limewire 2007-03-08 17:39 577536 --a------ C:\WINNT\system32\user32.dll 2007-03-08 17:39 40960 --a------ C:\WINNT\system32\mf3216.dll 2007-03-08 17:39 281600 --a------ C:\WINNT\system32\gdi32.dll 2007-03-08 17:38 1843584 --a------ C:\WINNT\system32\win32k.sys 2007-03-06 16:42 -------- d-------- C:\Programfiler\tunatic 2007-03-03 23:43 -------- d-------- C:\Programfiler\google 2007-02-25 20:22 -------- d-------- C:\Programfiler\java 2007-02-06 20:01 100488 --a------ C:\DOCUME~1\Roger\PROGRA~1\gdipfontcachev1.dat 2007-02-05 22:19 185344 --a------ C:\WINNT\system32\upnphost.dll 2007-02-03 11:22 1164 --a------ C:\WINNT\mozver.dat 2007-02-03 11:07 0 --a------ C:\WINNT\nsreg.dat 2007-02-01 06:56 823296 --a------ C:\WINNT\system32\divx_xx0c.dll 2007-02-01 06:56 823296 --a------ C:\WINNT\system32\divx_xx07.dll 2007-02-01 06:56 802816 --a------ C:\WINNT\system32\divx_xx11.dll 2007-02-01 06:56 639066 --a------ C:\WINNT\system32\divx.dll 2007-01-31 23:27 524288 --a------ C:\WINNT\system32\divxsm.exe 2007-01-31 01:15 118784 --a------ C:\WINNT\system32\divxcodecupdatechecker.exe 2007-01-30 07:03 3596288 --a------ C:\WINNT\system32\qt-dx331.dll 2007-01-30 07:03 200704 --a------ C:\WINNT\system32\ssldivx.dll 2007-01-30 07:03 129784 --------- C:\WINNT\system32\pxafs.dll 2007-01-30 07:03 118520 --------- C:\WINNT\system32\pxinsi64.exe 2007-01-30 07:03 116472 --------- C:\WINNT\system32\pxcpyi64.exe 2007-01-30 07:03 1044480 --a------ C:\WINNT\system32\libdivx.dll 2007-01-30 06:56 73728 --a------ C:\WINNT\system32\dpl100.dll 2007-01-30 06:56 593920 --a------ C:\WINNT\system32\dpugui11.dll 2007-01-30 06:56 57344 --a------ C:\WINNT\system32\dpv11.dll 2007-01-30 06:56 53248 --a------ C:\WINNT\system32\dpugui10.dll 2007-01-30 06:56 344064 --a------ C:\WINNT\system32\dpus11.dll 2007-01-30 06:56 294912 --a------ C:\WINNT\system32\dpu11.dll 2007-01-30 06:56 294912 --a------ C:\WINNT\system32\dpu10.dll 2007-01-30 06:56 196608 --a------ C:\WINNT\system32\dtu100.dll 2007-01-19 12:53 51056 --a------ C:\WINNT\system32\sirenacm.dll (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects] {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} C:\Programfiler\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} C:\Programfiler\BitComet\tools\BitCometBHO_1.1.3.19.dll {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} C:\Programfiler\Java\jre1.5.0_11\bin\ssv.dll {AA58ED58-01DD-4d91-8333-CF10577473F7} c:\programfiler\google\googletoolbar4.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] "NvCplDaemon"="RUNDLL32.EXE C:\\WINNT\\system32\\NvCpl.dll,NvStartup" "nwiz"="nwiz.exe /install" "anvshell"="anvshell.exe" "AdaptecDirectCD"="\"C:\\Programfiler\\Adaptec\\Easy CD Creator 5\\DirectCD\\DirectCD.exe\"" "HPDJ Taskbar Utility"="C:\\WINNT\\System32\\spool\\drivers\\w32x86\\3\\hpztsb04.exe" "SunJavaUpdateSched"="\"C:\\Programfiler\\Java\\jre1.5.0_11\\bin\\jusched.exe\"" "InfoMyCa.exe"="C:\\Programfiler\\Wireless 802.11g Monitor\\InfoMyCa.exe" "LVCOMSX"="C:\\WINNT\\system32\\LVCOMSX.EXE" "LogitechVideoRepair"="C:\\Programfiler\\Logitech\\Video\\ISStart.exe " "LogitechVideoTray"="C:\\Programfiler\\Logitech\\Video\\LogiTray.exe" "Easy-PrintToolBox"="C:\\Programfiler\\Canon\\Easy-PrintToolBox\\BJPSMAIN.EXE /logon" "Norman ZANDA"="C:\\Norman\\bin\\ZLH.EXE /LOAD /SPLASH" "HP Software Update"="C:\\Programfiler\\HP\\HP Software Update\\HPWuSchd2.exe" "RemoteControl"="C:\\Programfiler\\CyberLink\\PowerDVD\\PDVDServ.exe" "NeroFilterCheck"="C:\\WINNT\\system32\\NeroCheck.exe" "QuickTime Task"="\"C:\\Programfiler\\QuickTime\\qttask.exe\" -atboottime" "iTunesHelper"="\"C:\\Programfiler\\iTunes\\iTunesHelper.exe\"" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run] "LDM"="C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\BackWeb-8876480.exe" "RiskIISetup.exe"=" /r" "Steam"="" "ctfmon.exe"="C:\\WINNT\\system32\\ctfmon.exe" [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, zwebauth.dll" HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa Authentication Packages REG_MULTI_SZ msv1_0\0\0 Security Packages REG_MULTI_SZ kerberos\0msv1_0\0schannel\0wdigest\0\0 Notification Packages REG_MULTI_SZ scecli\0\0 [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Start-meny^Programmer^Oppstart^Exif Launcher.lnk] "path"="C:\\Documents and Settings\\All Users\\Start-meny\\Programmer\\Oppstart\\Exif Launcher.lnk" "backup"="C:\\WINNT\\pss\\Exif Launcher.lnkCommon Startup" "location"="Common Startup" "command"="C:\\PROGRA~2\\EXIFLA~1\\QuickDCF.exe " "item"="Exif Launcher" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="apdproxy" "hkey"="HKLM" "command"="\"C:\\Programfiler\\Adobe\\Photoshop Album Starter Edition\\3.0\\Apps\\apdproxy.exe\"" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C-Media Mixer] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="Mixer" "hkey"="HKLM" "command"="Mixer.exe /startup" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost] LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0 NetworkService REG_MULTI_SZ DnsCache\0\0 rpcss REG_MULTI_SZ RpcSs\0\0 imgsvc REG_MULTI_SZ StiSvc\0\0 termsvcs REG_MULTI_SZ TermService\0\0 HTTPFilter REG_MULTI_SZ HTTPFilter\0\0 DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0 *newlycreated* - HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root\LEGACY_GTNDIS5 Contents of the 'Scheduled Tasks' folder C:\WINNT\tasks\AppleSoftwareUpdate.job ******************************************************************** catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006 http://www.gmer.net scanning hidden processes ... scanning hidden services ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 ******************************************************************** Endret 18. april 2007 av chryzsh Lenke til kommentar
Programvare Skrevet 18. april 2007 Forfatter Del Skrevet 18. april 2007 (endret) HTJ-logg La den som vedlegg jeg Det er mulig at det ble litt tullete Endret 18. april 2007 av chryzsh Lenke til kommentar
norbat Skrevet 18. april 2007 Del Skrevet 18. april 2007 HJT-loggen ser fin ut. Så ser vi hva vi kan gjøre med system32-mappa Hent http://www.kellys-korner-xp.com/regs_edits...stem32opens.vbs, og kjør skriptet. Det vil bli foretatt en reg-endring om den finner det den skal. Lenke til kommentar
Programvare Skrevet 18. april 2007 Forfatter Del Skrevet 18. april 2007 Fikk opp dette her Lenke til kommentar
norbat Skrevet 18. april 2007 Del Skrevet 18. april 2007 Ok, Kan du dobbeltsjekke at ingen verdier er "" eller er ukorrekte i strengen HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Lenke til kommentar
Programvare Skrevet 18. april 2007 Forfatter Del Skrevet 18. april 2007 Det står litt forskjellige adresselinjer og på standard står det: verdi ikke angitt Lenke til kommentar
norbat Skrevet 18. april 2007 Del Skrevet 18. april 2007 Det står litt forskjellige adresselinjer og på standard står det: verdi ikke angitt 8418262[/snapback] Standard er grei. Det kan ligge noe i de andre adresselinjene. Kanskje du kan ta å legge ut et skjermbilde? Lenke til kommentar
Programvare Skrevet 18. april 2007 Forfatter Del Skrevet 18. april 2007 Skjermbilde Lenke til kommentar
norbat Skrevet 18. april 2007 Del Skrevet 18. april 2007 Hva med HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run. Ingen 'null-verdier' ("")? Lenke til kommentar
Programvare Skrevet 18. april 2007 Forfatter Del Skrevet 18. april 2007 (endret) Hey.Har du sjekka oppstartsprogrammene? Skriv msconfig i kjørlinja på startmenyen og velg oppstart i den menyen du kommer i da( lengst til høyre) Sjekk om det står noe der som har med sys32 å gjøre. Hvis det er noe der krysser du av i boksen til venstre... 8407184[/snapback] Dette har jeg faktisk ikke prøvd norbat kanskje jeg skal prøve det, det står at det kan være litt risky da... edit: er det farlig å krysse av noe der? Endret 18. april 2007 av chryzsh Lenke til kommentar
norbat Skrevet 18. april 2007 Del Skrevet 18. april 2007 (endret) Ja, gå ut i msconfig og velg arkfanen oppstart. Viss det er noe der som tilsynelatende ikke har noe adresse el. som vedkommende nevner, så fjern merke og restart. Ta gjerne et skjermbilde av oppstart-innholdet og du Endret 18. april 2007 av norbat Lenke til kommentar
norbat Skrevet 18. april 2007 Del Skrevet 18. april 2007 8418353[/snapback] Steam mangler Data. Mener at det der skal stå stien der steam ligger, typisk verdi er "C:\Programfiler\Steam\Steam.exe" -silent Du kan prøve å avinstallere Steam. Etterpå sjekker du om Steam fortsatt ligger der i registeret. Hvis den gjør det, tar du backup av registere, for deretter å fjerne Steam fra lista. Lenke til kommentar
Programvare Skrevet 18. april 2007 Forfatter Del Skrevet 18. april 2007 Blir 3 skjermbilder. Ruller nedover... Lenke til kommentar
Programvare Skrevet 18. april 2007 Forfatter Del Skrevet 18. april 2007 Jeg går og legger meg. Vi snakkes i morgen! Lenke til kommentar
norbat Skrevet 18. april 2007 Del Skrevet 18. april 2007 (endret) Ja, vi trenger å sove litt på dette Se litt på den Steam oppføringen når du setter deg framfor pc'n neste gang. Edit: Om dette heller ikke løser 'problemet' (altså å fjerne Steam fra 'lista'), så kan du prøve følgende (ufarlig): Start msconfig, og gå til oppstartfanen. Velg å 'Deaktivere alle' Pc'n vil restarte. Kommer fortsatt Sys32-mappa opp? Hvis ikke, kan du begynne å sette merke igjen framfor noen av linjenen i oppstartsfanen. Ikke velg for mange. En eller annen gang vil antakelig Sys32-mappa dukke opp. Forhåpentligvis, vil du da få vite hva i oppstartslisten som forårsaker dette. Endret 18. april 2007 av norbat Lenke til kommentar
Programvare Skrevet 19. april 2007 Forfatter Del Skrevet 19. april 2007 Heisann narbot! Jeg fant det ut!! Det var en jævel kalt PC søk i Windows og når jeg kryssa av den og restarta så kom ikke sys32-mappa opp!! Tusen takk for all hjelpen du har gitt meg!! Setter virkelig pris på det altså! Lenke til kommentar
norbat Skrevet 19. april 2007 Del Skrevet 19. april 2007 Flott Nå var kanskje denne system32-mappa det minste problemet, da systemet ditt var stappe full av spy- og adware Surf trygt. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå