Pop-up Plage! Hijackthis Log vedlagt Pls hjelp!

[norbat]

De fleste programmene du har brukt, sjekker det meste på alle brukerene, så i utg.pkt skulle det ikke være behov for å gå inn på de ulike brukerene. Men, i ditt tilfelle kan det være en ide da vi har prøvd det meste. (Jeg tenker da spesielt på ccleaner-programmet.)

 

Er det fortsatt slik at popuppen kommer hver halvtime eller?

Var det på din bruker det først oppsto eller var det noen annen som var påloggen sin bruker når dette skjedde.....?

 

De loggene du la ut siste viser intet mistenkelig, slik jeg ser det. (Du kan godt fjerne de om du ikke ønsker å ha de liggende åpne)

[jijiji]

Jeg tror det var på min bruker det kom først.

Nå kommer det på alles brukere.

Minst hver halvtime.

 

Jeg har nå lagt det inn på "restricted sites", men den kommer fremdeles.

(det står riktignok restricted site nede i høyre hjørnet på vinduet)

[norbat]

Gå til Jotti igjen og sjekk følgende fil:

 

C:\WINDOWS\system32\firefox.exe

 

Edit: Dette er ikke riktig plassering av firefox.exe filen , så nesten uavhengig av hva tilbakemeldingen sier så gjør følgende:

 

Fix denne linje vha. hjt:

O4 - HKLM\..\Run: [Firefox] C:\WINDOWS\system32\firefox.exe

 

Hent Avenger og pakk det ut.

 

Start programmet, sett prikk i "Input Script Manually" og klikk på lupen.

I vinduet som kommer opp kopierer du og limer inn det som er i fet skrift under:

 

Files to delete:

C:\WINDOWS\system32\firefox.exe

 

Klikk på Trafikklyset. Restart PC-en.

Etter restart vil det komme en loggfil som forteller hva som har skjedd. Du trenger ikke å poste den.

Endret 18. november 2007 av norbat

[jijiji]

OK.

Takk for at du fortsatt hjelper til!

SKal gjøre dette nå.

 

Ellers kan jeg nevne at det nå ikke dreier seg om en "pop-up", men at Explorer rett og slett klikker seg selv frem til worldinpink mens jeg er på noe annet.. Nå sist sesam.no. Jeg må altså klikke på "tilbake" for å komme til den siden jeg var på.

 

Før jeg går i gang med ditt siste tips, kan jeg også nevne at det er ingen her som bruker firefox, så hva den filen gjør her, vet jeg ikke...

 

Jeg gjorde alt:

-Sjekket filen i Jotti: Ingen feil funnet.

-Bad HJT fixe den

-Åpnet Avenger og copierte scriptet.

 

Det endte med en blåskjerm feilmelding da Avenger skulle boote.

Der sto det:

Følgende filer skaper problemer: ati2dvag.dll

terminal server driver made incorrect memory reference

Stop: 0x000000CF

 

Da jeg skrudde av og på PC-en manuelt, var firefox.exe fremdeles der.

Jeg slettet den manuelt i Utforsker, og tømte papirkurven.

 

Da er det vel bare å vente og se...

 

Edit: La inn resultatet av siste operasjon

Endret 19. november 2007 av jijiji

[wil]

Hei. Jeg håper problemet løser seg. Men en ting jeg er litt intressert i å vite. Hvordan har du fått den driten inn på PC`en? Vi må jo stikke fingern i jorda å si at det ikke kom av seg selv.

Riktignok er Internet Explorer fæl på å vise fram Popups, men rart er det om den kommer opp med linken som du skriver av seg selv.

Du må ha gjort noe for å få den fram. Enten har du vært inne på siden selv, eller noe.

En ting du kanskje kan prøve (Jeg vet ikke om det fungerer), men prøv å gå inni msconfig. Det gjør du ved å trykke på "Start"->"Kjør" skriv msconfig. Så velger du oppstart. Der kan du hake av for alt bortsett fra Antivirus og brannmur. Så trykker du "Bruk"->"Ok". Og (Jeg husker ikke hvilke alternativer du får etter at du har trykka "Ok", har ikke Norsk Windows XP her. Men uannsett. Du restarter og ser hva som skjer.

 

En ting til du kanskje kunne prøvd (Tviler på at det fungerer), men se om du får lasta ned Gratis versjon av Avira AntiVir PersonalEdition Classic.

Ta å last ned den. Oppdatert den å kjør en skanning. Se hva som skjer når du har gjort det. Om den finner noe virus med det programmet.

Prøv gjerne å kjøre skanninga i sikkerhetsmodus for der vil mest sannsynlig denne popup melding komme opp.

 

Hadde en PC her som hadde spyware drit på harddisken. Jeg tok å installerte Avira. (Riktignok ikke Gratis versjonen, tror jeg) og jeg oppdaterte den heller ikke. Jeg husker ikke hvor mye den fant, men den fant da noe, og etter å ha kjørt den og etter en liten tur innom Legg til/Fjern Programmer og avinstallering av forskjellig drit så var det problemet løst. Riktignok var det ikke noe vits å gjøre det, fordi at maskina skulle formateres uannsett.

 

 

Lykke til.

 

 

Hilsen. wil.

[norbat]

Før jeg går i gang med ditt siste tips, kan jeg også nevne at det er ingen her som bruker firefox, så hva den filen gjør her, vet jeg ikke...

 

- og uansett om du/dere hadde brukt Firefox, så ligger fila på en noe uvanlig plass. Da ringer alarmbjella hos meg som dessverre virket dårlig f.o.m din første post der denne fila åpenbarte seg.

 

Det er ikke utenkelig at dere har fått dette via MSN...

Endret 19. november 2007 av norbat

[jijiji]

Til Wil:

 

Jeg kan med hånden på hjertet si at jeg aldri har vært inne på siden før.

Problemene startet dagen etter at jeg hadde vært inne på en side jeg fikk link til av en kamerat.

Det var en video av en grov buktaler. I seg selv ikke noe tvilsomt innhold, men mye reklame for sex-relatert innhold på siden der videoen ble vist.

Da jeg skulle lukke siden, så jeg at det var flere andre sider som hadde åpnet seg, men ingen av disse var worldinpink.

Jeg hadde heller ikke fått noen advarsler fra NIS som jeg hadde sagt ja til eller ignorert.

 

Det var forøvrig kona mi som fikk worldinpink problemet først. (altså dagen etter)

 

Alt skjedde rundt 12-13 nov.

14 nov postet jeg første post i denne tråden.

 

Jeg har også oppdaget at alle brukere på PC-en står som administratorer (uvisst av hvilken grunn, for i utgangspunktet var bare jeg adm. og de andre "begrenset") deriblant en 12 åring og en 14 åring.

Dette er nå rettet opp.

 

MSN har vi ikke, men windows messenger har vi, og det fungerer vel på samme måten..?

 

Så hvordan det har kommet inn på PC-en er usikkert.

 

Jeg har ikke rukket å sjekke etter at firefox.exe ble fjernet.

Jeg er nå på jobb og får ikke sjekket det før ikveld.

 

En annen ting: Går det an å bruke datoen 12-13 nov på noen måte?

Finne filer/programmer som er opprettet rundt det tidspunktet i en eller annen mappe?

[norbat]

Ikke å vite hvor man har fått dette fra er den vanligste måten, så du er i godt selskap, jijiji. At noe snek seg inn da du var innom nevnte nettside er ikke utenkelig, men holder fortsatt en knapp på at MSN (eller Windows Messenger) kan være veien det kom (det er lett å klikke på linker man får fra venner). Ideen om å sjekke etter filer som ble opprettet med de nevnte datoer er lurt.

 

Ha imidlertid en fornemmelse av at problemet er borte ifb. med fjerningen av firefox.exe, men venter i spenning

[jijiji]

Har nå sjekket litt på div forums rundt om i verden, og det er ingen tvil om at firefox.exe kan være kilden.

Endel msk hevder at de har fjernet den og at den kommer tilbake i system32 folderen av seg selv...

jeg skal følge med.

 

Takk igjen, sålangt.

[wil]

jijiji: Mener du å si at popup vinduene har spredd seg på flere maskiner i nettverket?

 

En ting jeg lurer litt på. Tenkte bare akkurat nå. Kunne dette vært unngått hvis man f. eks hadde brukt Firefox med diverse addons?

 

 

Gikk du forresten inn å sjekka hva som stod i msconfig?

 

Lykke til.

 

 

 

Hilsen. wil.

[jijiji]

jijiji: Mener du å si at popup vinduene har spredd seg på flere maskiner i nettverket?

 

En ting jeg lurer litt på. Tenkte bare akkurat nå. Kunne dette vært unngått hvis man f. eks hadde brukt Firefox med diverse addons?

 

Gikk du forresten inn å sjekka hva som stod i msconfig?

 

Det er ingen flere maskiner i nettverk her. Spredningen gjaldt alle brukere av samme maskin.

 

Jeg har ikke sjekka msconfig. Men etter at jeg fjernet firefox.exe har jeg faktisk ikke hatt problemet nå ikveld.

 

Har reinstallert IE7 og alt virker normalt.

 

Takk for hjelp norbat (og delvis wil)

 

SAKEN LØST!

JIPPI!

[norbat]

Flott,

Ta gjerne å 'nullstillle' systemgjenopprettingen igjen slik at ikke den holder på en backup av firefox.exe-fila.

Og, selv om det ble noen unødvendige runder så har du fått renset godt opp på PC-en.

 

Surt trygt.