norbat Skrevet 9. september 2007 Del Skrevet 9. september 2007 (endret) hmm, Kjør CCleaner en gang til. Før du kjører programmet sørger du for at følgende er gjort: Start programmet. Gå til 'Valg'->'Avansert'. Fjern avkryssingen framfor: "bare slett midlertidige filer......." Klikk på 'Renser' og deretter 'Kjør CCleaner'. Sjekk om det ligger en Rootkit som skjuler ett eller annet: http://www.f-secure.com/blacklight/try_blacklight.html. Gi tilbakemelding om det finner noe. Gå ut i sikker modus Kjør Smitfraudfix og velg valg 2 Fra normal modus: Post ny HJT-logg. Før du kjører hjt, forandrer du programnavnet (hijackthis) til noe annet, f.eks. esso. Dette fordi noe adware/spyware gjemmer seg for program som heter hijackthis. Endret 9. september 2007 av norbat Lenke til kommentar
Betenkt Skrevet 9. september 2007 Forfatter Del Skrevet 9. september 2007 hmm, Kjør CCleaner en gang til. Før du kjører programmet sørger du for at følgende er gjort: Start programmet. Gå til 'Valg'->'Avansert'. Fjern avkryssingen framfor: "bare slett midlertidige filer......." Klikk på 'Renser' og deretter 'Kjør CCleaner'. Sjekk om det ligger en Rootkit som skjuler ett eller annet: 9456631[/snapback] Hvordan sjekke Rootkit-greia? CCleaner kjørt, rekker ikke det andre akkurat nå, skal fikse det når jeg kommer hjem senere i dag.. Lenke til kommentar
norbat Skrevet 9. september 2007 Del Skrevet 9. september 2007 Du laster ned Blacklight og kjører en scan (link i tidligere post. På nettsiden du kommer til klikker du på den blå 'I accept'-knappen nede på siden. Lenke til kommentar
Betenkt Skrevet 10. september 2007 Forfatter Del Skrevet 10. september 2007 (endret) hmm, Kjør CCleaner en gang til. Før du kjører programmet sørger du for at følgende er gjort: Start programmet. Gå til 'Valg'->'Avansert'. Fjern avkryssingen framfor: "bare slett midlertidige filer......." Klikk på 'Renser' og deretter 'Kjør CCleaner'. Sjekk om det ligger en Rootkit som skjuler ett eller annet: http://www.f-secure.com/blacklight/try_blacklight.html. Gi tilbakemelding om det finner noe. Gå ut i sikker modus Kjør Smitfraudfix og velg valg 2 Fra normal modus: Post ny HJT-logg. Før du kjører hjt, forandrer du programnavnet (hijackthis) til noe annet, f.eks. esso. Dette fordi noe adware/spyware gjemmer seg for program som heter hijackthis. 9456631[/snapback] Fant ingen root-kits.. Skal nå fiks det i sikker-modus.. EDIT: SmartiFraudfix: SmitFraudFix v2.221 Scan done at 15:06:10,95, 10.09.2007 Run from D:\Documents and Settings\Stein-Otto Svorstol.D52J4L2J\Desktop\Verktoy\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in safe mode »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix !Attention, following keys are not inevitably infected! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» hosts 127.0.0.1 services.google.com »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files »»»»»»»»»»»»»»»»»»»»»»»» DNS HKLM\SYSTEM\CS2\Services\Tcpip\..\{87D1F5F9-3241-4831-9028-CEB28EFD24F6}: DhcpNameServer=193.75.75.75 217.199.60.21 193.75.75.193 HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=193.75.75.75 217.199.60.21 193.75.75.193 »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !Attention, following keys are not inevitably infected! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix !Attention, following keys are not inevitably infected! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» End HiackThis: Logfile of Trend Micro HijackThis v2.0.2Scan saved at 15:22:18, on 10.09.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Intel\Wireless\Bin\EvtEng.exe C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe c:\program files\common files\logitech\lvmvfm\LVPrcSrv.exe C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Program Files\Ashampoo\Ashampoo Magical Defrag\bin\aDefragService.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\WINDOWS\system32\usbtapnp.exe C:\WINDOWS\system32\CTsvcCDA.exe C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe C:\Program Files\Ashampoo\Ashampoo Magical Defrag\bin\defragActivityMonitor.exe C:\Program Files\Maxtor\Maxtor Backup\MaxBackServiceInt.exe C:\Program Files\Trend Micro\Internet Security 14\pccguide.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\LVCOMSX.EXE C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe C:\Program Files\Dell\Media Experience\DMXLauncher.exe C:\WINDOWS\system32\dla\tfswctrl.exe C:\Program Files\Dell\QuickSet\quickset.exe C:\Program Files\Qliner Hotkeys\HotKeys.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\UltraMon\UltraMon.exe C:\program files\valve\steam\steam.exe C:\Program Files\Maxtor\OneTouch\Utils\SyncServices.exe C:\WINDOWS\system32\nvsvc32.exe C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe C:\Program Files\Xfire\xfire.exe C:\Program Files\UltraMon\UltraMonTaskbar.exe C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe C:\WINDOWS\system32\svchost.exe C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe C:\Program Files\Trend Micro\HijackThis\Esso's rapport program.exe C:\PROGRA~1\TRENDM~1\INTERN~1\TSC.EXE R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www1.euro.dell.com/content/default....c=ie&l=en&s=gen O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKLM\..\Run: [uSBTA] C:\WINDOWS\system32\usbtapnp.exe O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\Internet Security 14\pccguide.exe" O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet O4 - HKLM\..\Run: [NVHotkey] rundll32.exe nvHotkey.dll,Start O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE O4 - HKLM\..\Run: [iSUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [iSUSPM Startup] "C:\Program Files\Common Files\InstallShield\UpdateService\isuspm.exe" -startup O4 - HKLM\..\Run: [intelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe" O4 - HKLM\..\Run: [intelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless O4 - HKLM\..\Run: [DMXLauncher] C:\Program Files\Dell\Media Experience\DMXLauncher.exe O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe O4 - HKLM\..\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\quickset.exe O4 - HKLM\..\Run: [00Hotkeys] "C:\Program Files\Qliner Hotkeys\HotKeys.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [ultraMon] "C:\Program Files\UltraMon\UltraMon.exe" /auto O4 - HKCU\..\Run: [steam] "c:\program files\valve\steam\steam.exe" -silent O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Xfire.lnk = C:\Program Files\Xfire\xfire.exe O4 - Global Startup: AutorunsDisabled O4 - Global Startup: Bluetooth.lnk = ? O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Send to &Bluetooth Device... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: (no name) - AutorunsDisabled - (no file) O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15030/CTSUEng.cab O16 - DPF: {5CD4310E-88FB-43C1-BE24-5F3FA9C5C9D1} (KooPlayer Control) - http://www.tvlution.com/KooPlayer.ocx O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15030/CTPID.cab O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: AshampooDefragService - - C:\Program Files\Ashampoo\Ashampoo Magical Defrag\bin\aDefragService.exe O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\common files\logitech\lvmvfm\LVPrcSrv.exe O23 - Service: MaxBackServiceInt - Unknown owner - C:\Program Files\Maxtor\Maxtor Backup\MaxBackServiceInt.exe O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe O23 - Service: MaxSyncService (NTService1) - - C:\Program Files\Maxtor\OneTouch\Utils\SyncServices.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Intel® PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe O23 - Service: Intel® PROSet/Wireless SSO Service (WLANKEEPER) - Intel® Corporation - C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Program Files\Windows Live\installer\WLSetupSvc.exe -- End of file - 9602 bytes Endret 10. september 2007 av Webmaster Esso Lenke til kommentar
norbat Skrevet 10. september 2007 Del Skrevet 10. september 2007 Loggene ser greie ut. Kan det være at noen av dine sikkerhetsprogram er satt til å beskytte 'startsiden' slik at når du forandrer den går den automatisk tilbake til IMtools.org? Kjenner litt lite til Trend Micro, med sjekk om den har noen funksjoner for dette. Ellers, Last ned SAS, installer, oppdater og kjør en full (Complete) scan. Lenke til kommentar
Betenkt Skrevet 10. september 2007 Forfatter Del Skrevet 10. september 2007 (endret) Alt kjører bare med IE :S..Ikke en eneste pageguard for Firefox :S SAS fjerna noe drit, men samma startside EDIT: Mulig løsning å reinstallere Firefox? Endret 10. september 2007 av Webmaster Esso Lenke til kommentar
norbat Skrevet 10. september 2007 Del Skrevet 10. september 2007 Det kan være verd et forsøk Lenke til kommentar
Smooth Ceiling Skrevet 11. september 2007 Del Skrevet 11. september 2007 Håper virkelig du får det ordnet etter så mye pes *ment å være en oppmuntrende kommentar!* Hatten av til norbat for en slik støtte, forresten. Lenke til kommentar
Betenkt Skrevet 11. september 2007 Forfatter Del Skrevet 11. september 2007 (endret) Noop.. Ingenting.. ved reinstall husker installen instillinger så alt ligger her enda.. historikk og alt.. lette i filer (ingenting skult) og finner ikke firefox-mappa igjen. Avinstallerer med Revo Uninstaller så alle småfiler (loggfiler e.l.) skal også være borte, likevel ligger alt igjen :@ Ingen som har et lite hint? Takk for all hjelp hittil norbat ^^ EDIT: rense maskinens registere? Endret 11. september 2007 av Webmaster Esso Lenke til kommentar
norbat Skrevet 11. september 2007 Del Skrevet 11. september 2007 (endret) Slå av systemgjenopprettingen: Kontrollpanel->system->systemgjenoppretting . Sett merke framfor "Slå av Systemgjenopprettingen .. Restart pc'n Last ned ATF Cleaner Sett merke i alt under Main, Firefox og evt. Opera. og klikk 'Rens'. Slå på systemgjenopprettingen igjen og restart pc'n Gi tilbakemelding om IMTools.org fortsatt er en plage. Endret 11. september 2007 av norbat Lenke til kommentar
norbat Skrevet 11. september 2007 Del Skrevet 11. september 2007 Hvis det fortsatt er problemer, så prøv å avinstaller Firefox igjen Gå deretter til følgende mappe og slett den (i fet) %UserProfile%\Application Data\Mozilla Reinstaller Firefox Kommer IMTools.org fortsatt? Lenke til kommentar
Betenkt Skrevet 11. september 2007 Forfatter Del Skrevet 11. september 2007 Må gjøre lekser ferdig først.. EDIT følger Lenke til kommentar
norbat Skrevet 11. september 2007 Del Skrevet 11. september 2007 Høres fornuftig ut Lenke til kommentar
Betenkt Skrevet 11. september 2007 Forfatter Del Skrevet 11. september 2007 Det går faktisk ikke ann å slette den mappen. Den er beskyttet og det går ikke ann å fjerne skrivebeskyttelsen.. Lenke til kommentar
Betenkt Skrevet 11. september 2007 Forfatter Del Skrevet 11. september 2007 (endret) LØST! 1. Skru av systemgjenoppretning 2. Lasta ned ATF, avinstalerte og installerete Firefox på nytt 3. restart 4. Kjørte ATF = En frisk Firefox Husk å eksportere bokmerker i Firefox før avinstall Takker for all hjelp, norbat EDIT: Vet egentlig ikke hva som fikset det av dette, men kjør hele skiten for sikkerhets skyld Endret 11. september 2007 av Webmaster Esso Lenke til kommentar
norbat Skrevet 11. september 2007 Del Skrevet 11. september 2007 Endelig. Flott at det løste seg. Det jeg tror er at det i din profil, for firefox, lå en oppføring til denne IMTools.org. Vil anta at om du hadde avinstallert Firefox, slettet hele mappa Mozilla, så ville denne profilen også ha blitt slettet. ATF gjorde denne rensingen automatisk. Surf trygt. Lenke til kommentar
Betenkt Skrevet 11. september 2007 Forfatter Del Skrevet 11. september 2007 Surf trygt. 9474258[/snapback] Prøver Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå