m0g1e Skrevet 6. mai 2007 Del Skrevet 6. mai 2007 (endret) Er kjent med pop-up problemet fra tidligere, men det begynner å gå noen år faktisk... Har de siste dagene opplevd denne infeksjonen på alle Windows XP SP2 PC-ene hvor jeg bor, inkludert min laptop som nesten ikke brukes på nettet. Lurer på om det kan være noe som sprer seg her, men ville nesten trodd det er et og annet sikkerhetshull som kommer med en oppdatering eller noe fra Windows Update? Andre opplevd samme problemet den siste uken? Er greit å kunne bekrefte dette, ellers må jeg inspisere hele nettverket. Hadde egentlig ikke trodd dette spredde seg.. Har en sikkert ganske så spyware-belagt klient levendes over oss på hybelen til mistanke... Har likevel funnet en mulig løsning via et spywarefilter NOD32 2.7 har som tok knekken(?) på en \system32\dstrdolo.dll den gravde frem. Er spent om det er forsvunnet.... Filen ble kun gjenkjent som "probably a variant of Win32/Adware.BHO.V" og sendt til ESET til etterbehandling. Endret 15. mai 2007 av nollie Lenke til kommentar
m0g1e Skrevet 7. mai 2007 Forfatter Del Skrevet 7. mai 2007 Opplever nå at det er umulig å forandre på "Personvern" innstillingene i Verktøy -> Alt. for Internett. Jeg kan sette settingene, men de forandrer seg tilbake til "Tillat alle inrmasjonskaplser" når IE restartes... Noen kjent med dette? Lenke til kommentar
norbat Skrevet 7. mai 2007 Del Skrevet 7. mai 2007 Opplever nå at det er umulig å forandre på "Personvern" innstillingene i Verktøy -> Alt. for Internett. Jeg kan sette settingene, men de forandrer seg tilbake til "Tillat alle inrmasjonskaplser" når IE restartes... Noen kjent med dette? 8555979[/snapback] Det kan være at du har et sikkerhetsprogram som overstyrer denne innstillingen. Uansett, kjør gjerne gjennom langversjonen i følgende post: https://www.diskusjon.no/index.php?showtopic=691246 (Evt. logger poster du her i ditt eget emne) Lenke til kommentar
m0g1e Skrevet 8. mai 2007 Forfatter Del Skrevet 8. mai 2007 (endret) Fant noen filer med SUPERAntiSpyware og tror de ble satt i karantene og/eller slettet en del av dem. Ser likevel med en automatisert HiJackThis log analyser at noen av prosessene(?) som deaktivert - filer jeg vet var infisert med adware/virus. I:\WINDOWS\system32\dstrdolo.dll er en av dem! Her kommer loggen: Tusen hjertelig takk for hjelpen forresten! Håper det fungerer på resten av PC-ene også. Klikk for å se/fjerne innholdet nedenfor Logfile of HijackThis v1.99.1Scan saved at 16:18:05, on 08.05.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: I:\WINDOWS\System32\smss.exe I:\WINDOWS\system32\winlogon.exe I:\WINDOWS\system32\services.exe I:\WINDOWS\system32\lsass.exe I:\WINDOWS\system32\svchost.exe I:\WINDOWS\System32\svchost.exe I:\WINDOWS\system32\spoolsv.exe I:\WINDOWS\Explorer.EXE C:\Programfiler\Eset\nod32krn.exe I:\WINDOWS\system32\nvsvc32.exe C:\Programfiler\SolidDocuments\SolidConverterPDF\SCPDF\SolidPdfService.exe I:\WINDOWS\system32\svchost.exe I:\WINDOWS\system32\RUNDLL32.EXE I:\WINDOWS\SOUNDMAN.EXE F:\Programfiler\DAEMON Tools\daemon.exe I:\Programfiler\Sound Volume Hotkeys\SoundVolumeHotkeys.exe C:\Programfiler\Eset\nod32kui.exe I:\WINDOWS\system32\ctfmon.exe I:\Programfiler\SUPERAntiSpyware\SUPERAntiSpyware.exe D:\Downloads\Random Loads\yz_dck0083\YzDock.exe I:\Programfiler\Internet Explorer\iexplore.exe C:\Programfiler\Opera 9\Opera.exe F:\Programfiler\PowerISO\PowerISO.exe C:\Program Files\highjackithios\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.co.uk/0SEENWW/SAOS01?FORM=TOOLBR R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.no/ R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.co.uk/0SEENWW/SAOS01?FORM=TOOLBR R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koblinger O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Programfiler\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Programfiler\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll O2 - BHO: (no name) - {464DD106-E31C-444D-B7D8-2C0693367D34} - (no file) O2 - BHO: (no name) - {4B12E7AA-CCDC-499D-973B-2527766217D9} - I:\WINDOWS\system32\vtstt.dll (file missing) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - I:\Programfiler\Java\jre1.6.0_01\bin\ssv.dll O2 - BHO: (no name) - {8B63B8D9-46A9-444D-8307-6565F1920C8a} - I:\WINDOWS\system32\dstrdolo.dll (file missing) O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE I:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE I:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [DAEMON Tools] "F:\Programfiler\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon O4 - HKLM\..\Run: [soundVolumeHotkeys.{9547D1C7-4F18-4104-8674-046DCD12BDF9}] I:\Programfiler\Sound Volume Hotkeys\SoundVolumeHotkeys.exe -a O4 - HKLM\..\Run: [WindowsService] rundll32.exe "I:\WINDOWS\system32\nsvhmvkc.dll",realset O4 - HKLM\..\Run: [nod32kui] "C:\Programfiler\Eset\nod32kui.exe" /WAITSERVICE O4 - HKCU\..\Run: [ctfmon.exe] I:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [sUPERAntiSpyware] I:\Programfiler\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - Startup: Shortcut to YzDock.exe.lnk = D:\Downloads\Random Loads\yz_dck0083\YzDock.exe O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://c:\PROGRA~2\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Programfiler\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Programfiler\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: Oppslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Programfiler\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Programfiler\Messenger\msmsgs.exe O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab O20 - Winlogon Notify: !SASWinLogon - I:\Programfiler\SUPERAntiSpyware\SASWINLO.dll O20 - Winlogon Notify: WgaLogon - I:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: Adobe LM Service - Adobe Systems - I:\Programfiler\Fellesfiler\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Imapi Helper - Alex Feinman - C:\Programfiler\Alex Feinman\ISO Recorder\ImapiHelper.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programfiler\Eset\nod32krn.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - I:\WINDOWS\system32\nvsvc32.exe O23 - Service: SolidPDFConverterReadSpool (ScReadSpool) - VoyagerSoft, LLC - C:\Programfiler\SolidDocuments\SolidConverterPDF\SCPDF\SolidPdfService.exe Edit: SAS log også Klikk for å se/fjerne innholdet nedenfor SUPERAntiSpyware Scan Loghttp://www.superantispyware.com Generated 05/08/2007 at 03:41 PM Application Version : 3.7.1018 Core Rules Database Version : 3233 Trace Rules Database Version: 1244 Scan type : Complete Scan Total Scan Time : 00:21:43 Memory items scanned : 163 Memory threats detected : 2 Registry items scanned : 4484 Registry threats detected : 20 File items scanned : 49058 File threats detected : 48 Trojan.WinFixer I:\WINDOWS\SYSTEM32\VTSTT.DLL I:\WINDOWS\SYSTEM32\VTSTT.DLL HKLM\Software\Classes\CLSID\{4B12E7AA-CCDC-499D-973B-2527766217D9} HKCR\CLSID\{4B12E7AA-CCDC-499D-973B-2527766217D9} HKCR\CLSID\{4B12E7AA-CCDC-499D-973B-2527766217D9}\InprocServer32 HKCR\CLSID\{4B12E7AA-CCDC-499D-973B-2527766217D9}\InprocServer32#ThreadingModel HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4B12E7AA-CCDC-499D-973B-2527766217D9} Software\Microsoft\Windows NT\CurrentVersion\WinLogon\Notify\vtstt Trojan.Downloader-Gen/HardFall I:\WINDOWS\SYSTEM32\DDCDEDC.DLL I:\WINDOWS\SYSTEM32\DDCDEDC.DLL Software\Microsoft\Windows NT\CurrentVersion\WinLogon\Notify\ddcdedc I:\WINDOWS\SYSTEM32\SSQPNMK.DLL Adware.Vundo Variant HKLM\Software\Classes\CLSID\{464DD106-E31C-444D-B7D8-2C0693367D34} HKCR\CLSID\{464DD106-E31C-444D-B7D8-2C0693367D34} HKCR\CLSID\{464DD106-E31C-444D-B7D8-2C0693367D34}\InprocServer32 HKCR\CLSID\{464DD106-E31C-444D-B7D8-2C0693367D34}\InprocServer32#ThreadingModel HKLM\Software\Classes\CLSID\{D651AFF4-9590-424d-BD1E-8E33E090DFB3} HKCR\CLSID\{D651AFF4-9590-424D-BD1E-8E33E090DFB3} HKCR\CLSID\{D651AFF4-9590-424D-BD1E-8E33E090DFB3}\InprocServer32 HKCR\CLSID\{D651AFF4-9590-424D-BD1E-8E33E090DFB3}\InprocServer32#ThreadingModel I:\WINDOWS\SYSTEM32\OXIGMMXI.DLL HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{464DD106-E31C-444D-B7D8-2C0693367D34} HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D651AFF4-9590-424d-BD1E-8E33E090DFB3} HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks#{464DD106-E31C-444D-B7D8-2C0693367D34} HKCR\CLSID\{464DD106-E31C-444D-B7D8-2C0693367D34} HKCR\CLSID\{D651AFF4-9590-424D-BD1E-8E33E090DFB3} Adware.Tracking Cookie E:\Documents and Settings\Admin\Cookies\[email protected][2].txt E:\Documents and Settings\Admin\Cookies\[email protected][2].txt E:\Documents and Settings\Admin\Cookies\[email protected][1].txt E:\Documents and Settings\Admin\Cookies\[email protected][1].txt E:\Documents and Settings\Admin\Cookies\admin@adbrite[1].txt E:\Documents and Settings\Admin\Cookies\[email protected][2].txt E:\Documents and Settings\Admin\Cookies\[email protected][1].txt E:\Documents and Settings\Admin\Cookies\[email protected][1].txt E:\Documents and Settings\Admin\Cookies\admin@adtech[2].txt E:\Documents and Settings\Admin\Cookies\admin@advertising[2].txt E:\Documents and Settings\Admin\Cookies\admin@atdmt[2].txt E:\Documents and Settings\Admin\Cookies\[email protected][2].txt E:\Documents and Settings\Admin\Cookies\admin@bluestreak[2].txt E:\Documents and Settings\Admin\Cookies\admin@burstnet[2].txt E:\Documents and Settings\Admin\Cookies\admin@clicktorrent[2].txt E:\Documents and Settings\Admin\Cookies\admin@crackserver[1].txt E:\Documents and Settings\Admin\Cookies\[email protected][2].txt E:\Documents and Settings\Admin\Cookies\admin@doubleclick[1].txt E:\Documents and Settings\Admin\Cookies\admin@fastclick[2].txt E:\Documents and Settings\Admin\Cookies\[email protected][2].txt E:\Documents and Settings\Admin\Cookies\admin@hotlog[1].txt E:\Documents and Settings\Admin\Cookies\admin@intaclick[2].txt E:\Documents and Settings\Admin\Cookies\admin@mediaplex[1].txt E:\Documents and Settings\Admin\Cookies\[email protected][1].txt E:\Documents and Settings\Admin\Cookies\[email protected][1].txt E:\Documents and Settings\Admin\Cookies\[email protected][1].txt E:\Documents and Settings\Admin\Cookies\admin@revsci[2].txt E:\Documents and Settings\Admin\Cookies\[email protected][1].txt E:\Documents and Settings\Admin\Cookies\admin@serving-sys[1].txt E:\Documents and Settings\Admin\Cookies\[email protected][1].txt E:\Documents and Settings\Admin\Cookies\[email protected][1].txt E:\Documents and Settings\Admin\Cookies\admin@statcounter[1].txt E:\Documents and Settings\Admin\Cookies\admin@tacoda[2].txt E:\Documents and Settings\Admin\Cookies\admin@toplist[1].txt E:\Documents and Settings\Admin\Cookies\[email protected][2].txt E:\Documents and Settings\Admin\Cookies\admin@usenext[2].txt E:\Documents and Settings\Admin\Cookies\admin@usenext[3].txt E:\Documents and Settings\Admin\Cookies\admin@warlog[1].txt E:\Documents and Settings\Admin\Cookies\[email protected][1].txt E:\Documents and Settings\Admin\Cookies\[email protected][2].txt E:\Documents and Settings\Admin\Cookies\[email protected][2].txt E:\Documents and Settings\Admin\Cookies\admin@yadro[1].txt E:\Documents and Settings\Admin\Cookies\admin@yourmedia[1].txt E:\Documents and Settings\Admin\Cookies\admin@zedo[1].txt Endret 8. mai 2007 av nollie Lenke til kommentar
norbat Skrevet 8. mai 2007 Del Skrevet 8. mai 2007 Hei, Hent Avenger og pakk det ut på skrivebordet Start programmet, sett prikk i "Input Script Manually" og klikk på lupen. I vinduet som kommer opp kopierer du og limer inn det som er i fet skrift under: Files to delete: I:\WINDOWS\system32\nsvhmvkc.dll Klikk på Trafikklyset. Restart pc'n. Etter restart vil det komme en loggfil som forteller hva som har skjedd. Den loggen skal du kopierer og poster senere. Kjør HJT, sett merke framfor følgende linjer og klikk 'Fix checked': O2 - BHO: (no name) - {464DD106-E31C-444D-B7D8-2C0693367D34} - (no file) O2 - BHO: (no name) - {4B12E7AA-CCDC-499D-973B-2527766217D9} - I:\WINDOWS\system32\vtstt.dll (file missing) O2 - BHO: (no name) - {8B63B8D9-46A9-444D-8307-6565F1920C8a} - I:\WINDOWS\system32\dstrdolo.dll (file missing) O4 - HKLM\..\Run: [WindowsService] rundll32.exe "I:\WINDOWS\system32\nsvhmvkc.dll",realset Restart pc'n Post en ny HJT-logg + loggen fra Avenger (c:\avenger.txt) Lenke til kommentar
m0g1e Skrevet 8. mai 2007 Forfatter Del Skrevet 8. mai 2007 (endret) Her har vi dem: HiJackThis: Klikk for å se/fjerne innholdet nedenfor Logfile of HijackThis v1.99.1 Scan saved at 23:22:18, on 08.05.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: I:\WINDOWS\System32\smss.exe I:\WINDOWS\system32\winlogon.exe I:\WINDOWS\system32\services.exe I:\WINDOWS\system32\lsass.exe I:\WINDOWS\system32\svchost.exe I:\WINDOWS\System32\svchost.exe I:\WINDOWS\system32\spoolsv.exe C:\Programfiler\Eset\nod32krn.exe I:\WINDOWS\system32\nvsvc32.exe C:\Programfiler\SolidDocuments\SolidConverterPDF\SCPDF\SolidPdfService.exe I:\WINDOWS\system32\svchost.exe I:\WINDOWS\Explorer.EXE I:\WINDOWS\system32\RUNDLL32.EXE I:\WINDOWS\SOUNDMAN.EXE F:\Programfiler\DAEMON Tools\daemon.exe I:\Programfiler\Sound Volume Hotkeys\SoundVolumeHotkeys.exe C:\Programfiler\Eset\nod32kui.exe I:\WINDOWS\system32\ctfmon.exe I:\Programfiler\SUPERAntiSpyware\SUPERAntiSpyware.exe D:\Downloads\Random Loads\yz_dck0083\YzDock.exe I:\WINDOWS\system32\wuauclt.exe I:\WINDOWS\system32\wuauclt.exe C:\Program Files\highjackithios\HJthis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.co.uk/0SEENWW/SAOS01?FORM=TOOLBR R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.no/ R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.co.uk/0SEENWW/SAOS01?FORM=TOOLBR R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koblinger O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Programfiler\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Programfiler\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - I:\Programfiler\Java\jre1.6.0_01\bin\ssv.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE I:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE I:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [DAEMON Tools] "F:\Programfiler\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon O4 - HKLM\..\Run: [soundVolumeHotkeys.{9547D1C7-4F18-4104-8674-046DCD12BDF9}] I:\Programfiler\Sound Volume Hotkeys\SoundVolumeHotkeys.exe -a O4 - HKLM\..\Run: [nod32kui] "C:\Programfiler\Eset\nod32kui.exe" /WAITSERVICE O4 - HKCU\..\Run: [ctfmon.exe] I:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [sUPERAntiSpyware] I:\Programfiler\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - Startup: Shortcut to YzDock.exe.lnk = D:\Downloads\Random Loads\yz_dck0083\YzDock.exe O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://c:\PROGRA~2\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Programfiler\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Programfiler\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: Oppslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Programfiler\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Programfiler\Messenger\msmsgs.exe O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab O20 - Winlogon Notify: !SASWinLogon - I:\Programfiler\SUPERAntiSpyware\SASWINLO.dll O20 - Winlogon Notify: WgaLogon - I:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: Adobe LM Service - Adobe Systems - I:\Programfiler\Fellesfiler\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Imapi Helper - Alex Feinman - C:\Programfiler\Alex Feinman\ISO Recorder\ImapiHelper.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programfiler\Eset\nod32krn.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - I:\WINDOWS\system32\nvsvc32.exe O23 - Service: SolidPDFConverterReadSpool (ScReadSpool) - VoyagerSoft, LLC - C:\Programfiler\SolidDocuments\SolidConverterPDF\SCPDF\SolidPdfService.exe Avenger Klikk for å se/fjerne innholdet nedenfor Logfile of The Avenger version 1, by Swandog46Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\sqkbmcfy ******************* Script file located at: \??\I:\xqihghql.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at I:\Avenger ******************* Beginning to process script file: File I:\WINDOWS\system32\nsvhmvkc.dll deleted successfully. Completed script processing. ******************* Finished! Terminate. Fikk denne etter avenger, men forsvant naturligvis etter andre oppstart Flott at du hjelper til så nøye. Setter virkelig pris på det! Endret 8. mai 2007 av nollie Lenke til kommentar
norbat Skrevet 8. mai 2007 Del Skrevet 8. mai 2007 HJT-loggen ser fin ut Litt finpuss: Hent CCleaner. Start programmet. Gå til 'Valg'->'Avansert'. Fjern avkryssingen framfor: "bare slett midlertidige filer......." Klikk på 'Renser' og deretter 'Kjør CCleaner'. Kjør også noen runder med 'Saker' til det ikke finner flere feil. Du bør nullstille gjenopprettingsmappa slik at du ikke blir infisert ved en evt. systemgjenoppretting. Kontrollpanel->system->systemgjenoppretting . Sett merke framfor "Slå av .....", restart pc, fjern merket igjen for å aktivere funksjonen. Hvis alt så fungerer greit, anser vi denne saken som løst Lenke til kommentar
m0g1e Skrevet 8. mai 2007 Forfatter Del Skrevet 8. mai 2007 Virkelig tusen takk! hadde ikke trodd dette vill fikses igjen etter så mange forsøk med forskjellige diagnostieringsprogrammer. Men...jeg har jo en laptop også.. og muligens en rens hos broren min hadde trengs. Har støtet borti samme problemet med adwaren for "Errorsafe" og de som følger med... Vill gjerne donert noen kroner siden du jobber deg så ømfintelig igjennom dette. Føler meg litt ego når jeg ikke får gjort noe tilbake.. Kjørt en SAS på laptopen her også. Fikk fjernet problemet (av det jeg "ser" iallfall). Logg av HiJackThis: Klikk for å se/fjerne innholdet nedenfor Logfile of Trend Micro HijackThis v2.0.0 (BETA)Scan saved at 00:03:54, on 09.05.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\keyhook.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programfiler\Synaptics\SynTP\SynTPLpr.exe C:\Programfiler\Synaptics\SynTP\SynTPEnh.exe C:\Programfiler\Java\jre1.5.0_11\bin\jusched.exe P:\Programfiler\Eset\nod32kui.exe C:\WINDOWS\system32\ctfmon.exe C:\Programfiler\MSN Messenger\MsnMsgr.Exe C:\WINDOWS\system32\sistray.exe P:\Dock\yz_dck0083\YzDock.exe P:\Programfiler\Eset\nod32krn.exe P:\Programfiler\SolidDocuments\SolidConverterPDF\SCPDF\SolidPdfService.exe P:\Programfiler\Opera\Opera.exe C:\Documents and Settings\Magnus\Skrivebord\HiJackThis_v2.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koblinger O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programfiler\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - P:\Programfiler\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll O2 - BHO: (no name) - {4FFADED8-CE19-4FC5-9547-7881FDB5D120} - (no file) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programfiler\Java\jre1.5.0_11\bin\ssv.dll O3 - Toolbar: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - P:\Programfiler\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [siSPower] Rundll32.exe SiSPower.dll,ModeAgent O4 - HKLM\..\Run: [siS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [synTPLpr] C:\Programfiler\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [synTPEnh] C:\Programfiler\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [\\printsrv\rx425] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P16 "\\printsrv\rx425" /O6 "USB001" /M "Stylus Photo RX420" O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Programfiler\Java\jre1.5.0_11\bin\jusched.exe" O4 - HKLM\..\Run: [nod32kui] "P:\Programfiler\Eset\nod32kui.exe" /WAITSERVICE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programfiler\MSN Messenger\MsnMsgr.Exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKAL TJENESTE') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETTVERKSTJENESTE') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Adobe Gamma.lnk = C:\Programfiler\Fellesfiler\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Startup: Snarvei til YzDock.lnk = P:\Dock\yz_dck0083\YzDock.exe O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://P:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra button: Oppslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - P:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU) O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programfiler\Fellesfiler\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Imapi Helper - Alex Feinman - P:\Programfiler\Alex Feinman\ISO Recorder\ImapiHelper.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - P:\Programfiler\Eset\nod32krn.exe O23 - Service: SolidPDFConverterReadSpool (ScReadSpool) - VoyagerSoft, LLC - P:\Programfiler\SolidDocuments\SolidConverterPDF\SCPDF\SolidPdfService.exe -- End of file - 4831 bytes En SAS scan som ble gjort før HighJackThis: Klikk for å se/fjerne innholdet nedenfor SUPERAntiSpyware Scan Log http://www.superantispyware.com Generated 05/08/2007 at 10:11 PM Application Version : 3.7.1018 Core Rules Database Version : 3228 Trace Rules Database Version: 1239 Scan type : Complete Scan Total Scan Time : 00:16:35 Memory items scanned : 319 Memory threats detected : 1 Registry items scanned : 4066 Registry threats detected : 6 File items scanned : 23204 File threats detected : 20 Trojan.Downloader-Gen/HardFall C:\WINDOWS\SYSTEM32\BYXURPQ.DLL C:\WINDOWS\SYSTEM32\BYXURPQ.DLL HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4FFADED8-CE19-4FC5-9547-7881FDB5D120} HKCR\CLSID\{4FFADED8-CE19-4FC5-9547-7881FDB5D120} HKCR\CLSID\{4FFADED8-CE19-4FC5-9547-7881FDB5D120}\InprocServer32 HKCR\CLSID\{4FFADED8-CE19-4FC5-9547-7881FDB5D120}\InprocServer32#ThreadingModel HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks#{4FFADED8-CE19-4FC5-9547-7881FDB5D120} Software\Microsoft\Windows NT\CurrentVersion\WinLogon\Notify\byxurpq Adware.Tracking Cookie C:\Documents and Settings\Magnus\Cookies\magnus@zedo[2].txt C:\Documents and Settings\Magnus\Cookies\magnus@advertising[1].txt C:\Documents and Settings\Magnus\Cookies\magnus@cgi-bin[1].txt C:\Documents and Settings\Magnus\Cookies\magnus@2o7[1].txt C:\Documents and Settings\Magnus\Cookies\[email protected][1].txt C:\Documents and Settings\Magnus\Cookies\magnus@adtech[2].txt C:\Documents and Settings\Magnus\Cookies\magnus@serving-sys[2].txt C:\Documents and Settings\Magnus\Cookies\[email protected][2].txt C:\Documents and Settings\Magnus\Cookies\magnus@atdmt[2].txt C:\Documents and Settings\Magnus\Cookies\magnus@casalemedia[2].txt C:\Documents and Settings\Magnus\Cookies\magnus@tradedoubler[1].txt C:\Documents and Settings\Magnus\Cookies\[email protected][1].txt C:\Documents and Settings\Magnus\Cookies\[email protected][1].txt C:\Documents and Settings\Magnus\Cookies\magnus@fastclick[2].txt C:\Documents and Settings\Magnus\Cookies\[email protected][2].txt C:\Documents and Settings\Magnus\Cookies\magnus@doubleclick[1].txt C:\Documents and Settings\Magnus\Cookies\magnus@tribalfusion[1].txt C:\Documents and Settings\Magnus\Cookies\[email protected][1].txt C:\Documents and Settings\Magnus\Cookies\magnus@ad[1].txt Lenke til kommentar
m0g1e Skrevet 8. mai 2007 Forfatter Del Skrevet 8. mai 2007 Er det noe gode nettsider jeg kan lære meg best å forstå analysene av programmene jeg bruker? Eller bør jeg bare bla igjennom forumet og lære herifra? Er ganske interessert i å forstå hvordan jeg kan identifisere forskjellige ting som farlig og ikke i loggene. Prøvde den automatiske analyseren en gang, men vet jo ikke om den er idiotsikkert...som den selv benevner... Lenke til kommentar
norbat Skrevet 9. mai 2007 Del Skrevet 9. mai 2007 (endret) For det første: All support på forumet er og blir gratis. Det er det som er så bra med et forum av dette slag Ang. HJT-logg fra laptop: Kjør HJT, sett merke framfor følgended linje og klikk 'Fix checked': O2 - BHO: (no name) - {4FFADED8-CE19-4FC5-9547-7881FDB5D120} - (no file) Ut over dette ser loggen fin ut En runde med CCleaner er også er grei sak å gjøre samt 'nullstill' systemgjenopprettingen på samme måte som du gjorde på den andre pc'n. Ang. Selvsjekk av HJT: Den 'Automatiske analysen' gir en grei og kjapp indikasjon på om det er filer som må/bør sjekkes. Ut over dette bør man søke på 'mistenkelige' filer evt. laste usikre filer opp på nettsider som kan gjøre en virusscan (eks. på jotti.org). Å lese poster med hjt-logger og se på løsningene, er og en viktig del av lærigsprosess. Endret 9. mai 2007 av norbat Lenke til kommentar
Heilage Skrevet 9. mai 2007 Del Skrevet 9. mai 2007 ErrorSafe ser ut til å være et spywareproblem verden over. Jeg opplever popupen iblant selv når jeg kjører OS X. Måtte slik idioti dø. Lenke til kommentar
m0g1e Skrevet 15. mai 2007 Forfatter Del Skrevet 15. mai 2007 Var bare nyskjerrig på en ting her... Er det mulig å skaffe seg Spyware/Malware fra andre PC-er? Altså at det kopierer seg over på andre PC-er på samme nettverk? Er litt skeptisk til hvor overfylte med "møkk" de andre PC-ene på nettet kan være... Lenke til kommentar
norbat Skrevet 15. mai 2007 Del Skrevet 15. mai 2007 Var bare nyskjerrig på en ting her... Er det mulig å skaffe seg Spyware/Malware fra andre PC-er? Altså at det kopierer seg over på andre PC-er på samme nettverk? Er litt skeptisk til hvor overfylte med "møkk" de andre PC-ene på nettet kan være... 8617386[/snapback] Det korte svaret er JA. Pc'er i nettverk kan 'smitte' hverandre. Hvor enkelt eller lett dette skjer i praksis, vet jeg ikke. Det hjelper å holde pc'n oppdatert, ha sikkerhetsprogram som overvåker pc'n samt slå av fildeling. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå