Rex_Rodney Skrevet 27. mai 2008 Del Skrevet 27. mai 2008 (endret) Hei, mener jeg bare trykte på en side , instaler active x og etter noen sek kommer denne virus/trojan warning fra symantec antivirusen min, og fortsetter og dukke opp hele tiden.. Har kjørt ad-aware og virusprogram... Noen som vet hvordan jeg fjerner dette helt... se bilde hva jeg får opp warning på... Endret 1. juni 2008 av Rex_Rodney Lenke til kommentar
Rex_Rodney Skrevet 27. mai 2008 Forfatter Del Skrevet 27. mai 2008 Prøvde en restart, men maskinen vil ikke starte igjen, kommer bare til bakgrunnsbilde og en liten rubrikk som sier Egendefinerte innstillinger Instalere egendefinerte innstillinger for C'.WINDOWS/system32/system2.exe Sitter nå på en annen pc... Lenke til kommentar
Rex_Rodney Skrevet 27. mai 2008 Forfatter Del Skrevet 27. mai 2008 Prøvde en restart, men maskinen vil ikke starte igjen, kommer bare til bakgrunnsbilde og en liten rubrikk som sier Egendefinerte innstillinger Instalere egendefinerte innstillinger for C'.WINDOWS/system32/system2.exe Sitter nå på en annen pc... Edit nå startet den etter x antall forsøk... men nå dukker plutselig ikke den warning opp lenger, ser det stod delete succeded på den warning greia fra isted, men hvofor skulle den dukke opp hvert 10 sekund da.. hmm enda ikke fått noe warn etter restart.. Lenke til kommentar
r2d290 Skrevet 27. mai 2008 Del Skrevet 27. mai 2008 (endret) På dette forumet, er vi veldig glade i folk som ikke bump-poster Bruk heller edit/rediger-knappen... Men uansett: følg kortversjonen av følgende guide: https://www.diskusjon.no/index.php?showtopic=691246 Loggen poster du her, så ser vi om det er malware-relatert Endret 27. mai 2008 av r2d290 Lenke til kommentar
Rex_Rodney Skrevet 27. mai 2008 Forfatter Del Skrevet 27. mai 2008 På dette forumet, er vi veldig glade i folk som ikke bump-poster Bruk heller edit/rediger-knappen... Men uansett: følg kortversjonen av følgende guide: https://www.diskusjon.no/index.php?showtopic=691246 Loggen poster du her, så ser vi om det er malware-relatert Oki, beklager det Her et et bilde av hva ad aware fant Lenke til kommentar
Rex_Rodney Skrevet 27. mai 2008 Forfatter Del Skrevet 27. mai 2008 På dette forumet, er vi veldig glade i folk som ikke bump-poster Bruk heller edit/rediger-knappen... Men uansett: følg kortversjonen av følgende guide: https://www.diskusjon.no/index.php?showtopic=691246 Loggen poster du her, så ser vi om det er malware-relatert Oki, beklager det Her et et bilde av hva ad aware fant , sletta dette kanskje det var alt jeg trengte Edit : her en loggen Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:47:06, on 27.05.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16640) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Programfiler\Windows Defender\MsMpEng.exe C:\WINDOWS\System32\svchost.exe C:\Programfiler\Fellesfiler\Symantec Shared\ccSetMgr.exe C:\Programfiler\Fellesfiler\Symantec Shared\ccEvtMgr.exe C:\Programfiler\Lavasoft\Ad-Aware 2007\aawservice.exe C:\WINDOWS\Explorer.EXE C:\Programfiler\Symantec AntiVirus\DefWatch.exe C:\WINDOWS\System32\svchost.exe C:\Programfiler\Fellesfiler\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\Programfiler\Symantec AntiVirus\Rtvscan.exe C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\Dit.exe C:\WINDOWS\AGRSMMSG.exe C:\WINDOWS\mHotkey.exe C:\WINDOWS\CNYHKey.exe C:\Programfiler\Home Cinema\PowerCinema\PCMService.exe C:\Programfiler\Fellesfiler\Symantec Shared\ccApp.exe C:\PROGRA~1\SYMANT~1\VPTray.exe C:\WINDOWS\system32\WDBtnMgr.exe C:\Programfiler\Java\jre1.6.0_05\bin\jusched.exe C:\Programfiler\Windows Defender\MSASCui.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\ctfmon.exe C:\Programfiler\Messenger\msmsgs.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\Programfiler\Windows Media Player\WMPNSCFG.exe C:\Programfiler\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe C:\Programfiler\Logitech\SetPoint\SetPoint.exe C:\Programfiler\Fellesfiler\Logishrd\KHAL2\KHALMNPR.EXE C:\Programfiler\Windows Live\Messenger\msnmsgr.exe C:\Programfiler\Windows Live\Messenger\usnsvc.exe C:\Programfiler\Internet Explorer\iexplore.exe C:\Programfiler\Fellesfiler\Microsoft Shared\Windows Live\WLLoginProxy.exe C:\Programfiler\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.vg.no/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koblinger O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programfiler\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programfiler\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Påloggingshjelp for Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programfiler\Fellesfiler\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programfiler\Windows Live Toolbar\msntb.dll O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programfiler\Windows Live Toolbar\msntb.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [snarvei til egenskapsside for High Definition Audio] HDAudPropShortcut.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [PCMService] "C:\Programfiler\Home Cinema\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [ccApp] "C:\Programfiler\Fellesfiler\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe O4 - HKLM\..\Run: [WinampAgent] "C:\Documents and settings\Stian Paulsen\Mine dokumenter\Programmer\Innstal\Winamp\winampa.exe" O4 - HKLM\..\Run: [WD Button Manager] WDBtnMgr.exe O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Programfiler\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [Windows Defender] "C:\Programfiler\Windows Defender\MSASCui.exe" -hide O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programfiler\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [LaunchList] C:\Programfiler\Pinnacle\Studio 11\LaunchList2.exe O4 - HKCU\..\Run: [WMPNSCFG] C:\Programfiler\Windows Media Player\WMPNSCFG.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKAL TJENESTE') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETTVERKSTJENESTE') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programfiler\Fellesfiler\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programfiler\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Programfiler\Logitech\SetPoint\SetPoint.exe O8 - Extra context menu item: &Windows Live Search - res://C:\Programfiler\Windows Live Toolbar\msntb.dll/search.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: Referensinformation - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programfiler\Fellesfiler\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.microsoft.com/ O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/f...p1.0.0.15-3.cab O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupd...b?1201987621593 O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programfiler\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programfiler\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\ccSetMgr.exe O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programfiler\Symantec AntiVirus\DefWatch.exe O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programfiler\Fellesfiler\Logitech\Bluetooth\LBTServ.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PCLEPCI - Pinnacle Systems GmbH - C:\WINDOWS\system32\drivers\pclepci.sys O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programfiler\Symantec AntiVirus\SavRoam.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\SNDSrvc.exe O23 - Service: Print Spooler (Spooler) - Unknown owner - C:\WINDOWS\system32\spoolsv.exe (file missing) O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programfiler\Symantec AntiVirus\Rtvscan.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe -- End of file - 9088 bytes Lenke til kommentar
snippsat Skrevet 27. mai 2008 Del Skrevet 27. mai 2008 Last Combofix ned ,legg på skrivebordet. Ikke klikk på vindu mens programet kjører. post logg C:\combofix.txt Lenke til kommentar
Rex_Rodney Skrevet 28. mai 2008 Forfatter Del Skrevet 28. mai 2008 (endret) Last Combofix ned ,legg på skrivebordet.Ikke klikk på vindu mens programet kjører. post logg C:\combofix.txt Prøvde denne, men skjedde ikke mye, stoppet opp på 34... Endret 28. mai 2008 av Rex_Rodney Lenke til kommentar
snippsat Skrevet 28. mai 2008 Del Skrevet 28. mai 2008 Last ned oppdatere og kjør full scan SAS free Post loggen fra SAS (preferences->statistics/logs) Lenke til kommentar
Rex_Rodney Skrevet 28. mai 2008 Forfatter Del Skrevet 28. mai 2008 Last ned oppdatere og kjør full scan SAS freePost loggen fra SAS (preferences->statistics/logs) http://www.superantispyware.com Generated 05/28/2008 at 11:12 PM Application Version : 4.1.1046 Core Rules Database Version : 3469 Trace Rules Database Version: 1460 Scan type : Complete Scan Total Scan Time : 00:27:27 Memory items scanned : 493 Memory threats detected : 0 Registry items scanned : 6150 Registry threats detected : 0 File items scanned : 26896 File threats detected : 27 Adware.Tracking Cookie C:\Documents and settings\Stian Paulsen\Cookies\stian_paulsen@tradedoubler[3].txt C:\Documents and settings\Stian Paulsen\Cookies\[email protected][2].txt C:\Documents and settings\Stian Paulsen\Cookies\stian_paulsen@doubleclick[1].txt C:\Documents and settings\Stian Paulsen\Cookies\[email protected][1].txt C:\Documents and settings\Stian Paulsen\Cookies\[email protected][1].txt C:\Documents and settings\Stian Paulsen\Cookies\[email protected][2].txt C:\Documents and settings\Stian Paulsen\Cookies\stian_paulsen@atdmt[2].txt C:\Documents and settings\Stian Paulsen\Cookies\stian_paulsen@advertising[2].txt C:\Documents and settings\Stian Paulsen\Cookies\stian_paulsen@mediaplex[1].txt C:\Documents and settings\Stian Paulsen\Cookies\[email protected][2].txt C:\Documents and settings\Stian Paulsen\Cookies\[email protected][1].txt C:\Documents and settings\Stian Paulsen\Cookies\[email protected][1].txt C:\Documents and settings\Stian Paulsen\Cookies\[email protected][1].txt C:\Documents and settings\Stian Paulsen\Cookies\[email protected][1].txt C:\Documents and settings\Stian Paulsen\Cookies\[email protected][3].txt C:\Documents and settings\Stian Paulsen\Cookies\stian_paulsen@adtech[3].txt C:\Documents and settings\Stian Paulsen\Cookies\[email protected][2].txt C:\Documents and settings\Stian Paulsen\Cookies\stian_paulsen@adtech[2].txt C:\Documents and settings\Stian Paulsen\Cookies\stian_paulsen@kontera[2].txt C:\Documents and settings\Stian Paulsen\Cookies\stian_paulsen@tradedoubler[2].txt C:\Documents and settings\Stian Paulsen\Cookies\stian_paulsen@tradedoubler[1].txt C:\Documents and settings\Stian Paulsen\Cookies\stian_paulsen@serving-sys[2].txt C:\Documents and settings\Stian Paulsen\Cookies\[email protected][2].txt C:\Documents and settings\Stian Paulsen\Cookies\[email protected][2].txt C:\Documents and settings\Stian Paulsen\Cookies\[email protected][1].txt C:\Documents and settings\Stian Paulsen\Cookies\stian_paulsen@adtech[1].txt C:\Documents and settings\Stian Paulsen\Cookies\stian_paulsen@indextools[2].txt Lenke til kommentar
snippsat Skrevet 28. mai 2008 Del Skrevet 28. mai 2008 (endret) Start HijackThis "scan" finn denne linjen merk den,så trykk fix checked. O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/f...p1.0.0.15-3.cab Ser greit du kan gjøre dette. Last ned kjør CCleaner 'Valg'->'Avansert'. Fjern avkryssingen framfor: "bare slett midlertidige filer som er eldere enn 48 t. Kjør register-renser og"svar ja til og reparere" Restart. Ny runde med ccleaner. Du kan scanne med ad-adware nå. Husk sas er en god del bedere enn ad-adware. Finner ad-adware noe nå må du ta med plassring eller logg. Endret 28. mai 2008 av SNIPPSAT Lenke til kommentar
Rex_Rodney Skrevet 29. mai 2008 Forfatter Del Skrevet 29. mai 2008 Da tror jeg det er i orden igjen.. Takk for hjelpen SNIPPSAT Lenke til kommentar
r2d290 Skrevet 29. mai 2008 Del Skrevet 29. mai 2008 Combofix må avinstalleres (så vidt jeg forsto det, har du installert det) Start->kjør->skriv: combofix /u dette vil avinstallere programmet, nullstille systemgjenoprettingsmappen, og slette midlertidige filen. Rediger emnetittelen din Redigor førsteposten din med full redigering, og skriv: [LØST] foran emnetittelen din. Dette vil være med på å holde forumet ryddig Lenke til kommentar
Rex_Rodney Skrevet 29. mai 2008 Forfatter Del Skrevet 29. mai 2008 (endret) Eller ikke helt løst enda, tok en siste ad aware og dukket opp en critical der : Og prøvde Start->kjør->skriv: combofix /u , men fikk bare beskjed : finner ikke combofix, men ser jo den mappa combofix ligger på c: , men finner ikke noe avinstaler fil der.. bare slette hele mappa eller ? denne fant ad aware : 843 Win32.Backdoor.VB Malware 10 [142648] File: C:\ComboFix\NirCmdC.cfexe C:\Documents and settings\All Users\Programdata\Lavasoft\Ad-Aware 2007\logs\Ad-Aware 20080529 22-42-16.log.xml Endret 29. mai 2008 av Rex_Rodney Lenke til kommentar
snippsat Skrevet 29. mai 2008 Del Skrevet 29. mai 2008 Ok når du tar combofix /u skal combofix ligge på skrivebordet. Les post 7 igjen. Du kan slette mappe c:\combofix Så gjør du dette for og resette systemgjenoppretting. Kontrollpanel->system->systemgjenoppretting[slå av systemgjenoppretting ->restart]-*-[slå på systemgjenoppretting igjen] Etter dette er det greit Lenke til kommentar
Rex_Rodney Skrevet 1. juni 2008 Forfatter Del Skrevet 1. juni 2008 Ok når du tar combofix /u skal combofix ligge på skrivebordet. Les post 7 igjen. Du kan slette mappe c:\combofix Så gjør du dette for og resette systemgjenoppretting. Kontrollpanel->system->systemgjenoppretting[slå av systemgjenoppretting ->restart]-*-[slå på systemgjenoppretting igjen] Etter dette er det greit Oki ser bra ut så langt, takk for hjelpen snipp... Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå