Ragnild89 Skrevet 8. juni 2008 Del Skrevet 8. juni 2008 (endret) Har fått virus på min fars data, og er super redd nå! Kjørte Norton antivirus control, og den fant et Trojaner virus. Det kommer popup vinduer hele tiden.. Jeg begynte å gjøre slik som det stod i langversjonen, lastet ned CCleaner.. Hva gjør dette programmet? Jeg kjørte det, og så det hadde slettet maaange filer, hva slettet den?! Jeg er veldig redd for å miste noe av hans ting som ligger her, det er ikke back up på det, og veldig viktig informasjon som ligger på hans data!! Finnes det håp? Jeg tørr ikke fortsette det som stod i langversjonen.. Jeg tør ingenting:( Håper på hjelp...! Endret 9. juni 2008 av Ragnild89 Lenke til kommentar
snippsat Skrevet 8. juni 2008 Del Skrevet 8. juni 2008 (endret) CCleaner sletter filer fra nettleser og temp filer. Dette er filer som er greit og rense bort en gang iblant. Kjør combofix. Svar ja til alle spørsmål. Når den er ferdig ligger loggen under root. c:\(ikke mapper) Combofix.txt Last Combofix ned ,legg på skrivebordet. Ikke klikk på vindu mens programet kjører. post logg C:\combofix.txt Endret 8. juni 2008 av SNIPPSAT Lenke til kommentar
Ragnild89 Skrevet 8. juni 2008 Forfatter Del Skrevet 8. juni 2008 Her er denne loggen... Kan du hjelpe meg videre? Her mener jeg;) Logg.txt Lenke til kommentar
snippsat Skrevet 8. juni 2008 Del Skrevet 8. juni 2008 Kopiere fet tekst under bildet->åpne notisblokk og lim inn. Lagre på skrivebordet som CFScript.txt Gjør som på bildet combofix vil starte,Post logg c:\combofix.txt Registry:: [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{a33fa729-d155-4b23-842b-2c665ecabdb6}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{A33FA729-D155-4B23-842B-2C665ECABDB6}"= - "{51D81DD5-55B7-497F-95DB-D356429BB54E}"=- [-HKEY_CLASSES_ROOT\clsid\{a33fa729-d155-4b23-842b-2c665ecabdb6}] [-HKEY_CLASSES_ROOT\clsid\{51d81dd5-55b7-497f-95db-d356429bb54e}] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{51D81DD5-55B7-497F-95DB-D356429BB54E}"=- [-HKEY_CLASSES_ROOT\clsid\{51d81dd5-55b7-497f-95db-d356429bb54e}] --- Restart --- Kunne du ha postet loggen fra sas. (preferences->statistics/logs) --- Last ned HijackThis legg i egen mappe på skrivebordet. Start programmet og velg "Trykk scan og save log" Post HijackThis.txt --- Lenke til kommentar
Ragnild89 Skrevet 8. juni 2008 Forfatter Del Skrevet 8. juni 2008 Ellers husker jeg ikke helt hvilke av loggene som kom fra hvor, men det ser vel dere? Hva er det mer jeg skal gjøre nå? Jeg klarte forresten ikke å legge to av loggene som vedlegg.. Håper det går fint å legge de slik..? SUPERAntiSpyware Scan Log http://www.superantispyware.com Generated 06/08/2008 at 04:27 PM Application Version : 4.15.1000 Core Rules Database Version : 3469 Trace Rules Database Version: 1460 Scan type : Complete Scan Total Scan Time : 00:34:22 Memory items scanned : 462 Memory threats detected : 0 Registry items scanned : 5180 Registry threats detected : 24 File items scanned : 20400 File threats detected : 116 Adware.MyWebSearch HKLM\Software\Classes\CLSID\{00A6FAF6-072E-44cf-8957-5838F569A31D} HKCR\CLSID\{00A6FAF6-072E-44CF-8957-5838F569A31D} HKCR\CLSID\{00A6FAF6-072E-44CF-8957-5838F569A31D} HKCR\CLSID\{00A6FAF6-072E-44CF-8957-5838F569A31D}\InprocServer32 HKCR\CLSID\{00A6FAF6-072E-44CF-8957-5838F569A31D}\InprocServer32#ThreadingModel HKCR\CLSID\{00A6FAF6-072E-44CF-8957-5838F569A31D}\Programmable C:\PROGRAMFILER\MYWEBSEARCH\SRCHASTT\1.BIN\MWSSRCAS.DLL HKLM\Software\Classes\CLSID\{07B18EA9-A523-4961-B6BB-170DE4475CCA} HKCR\CLSID\{07B18EA9-A523-4961-B6BB-170DE4475CCA} HKCR\CLSID\{07B18EA9-A523-4961-B6BB-170DE4475CCA} HKCR\CLSID\{07B18EA9-A523-4961-B6BB-170DE4475CCA}\InprocServer32 HKCR\CLSID\{07B18EA9-A523-4961-B6BB-170DE4475CCA}\InprocServer32#ThreadingModel C:\PROGRAMFILER\MYWEBSEARCH\BAR\1.BIN\MWSBAR.DLL HKLM\Software\Microsoft\Internet Explorer\Toolbar#{07B18EA9-A523-4961-B6BB-170DE4475CCA} Trojan.Media-Codec/V5 HKLM\Software\Classes\CLSID\{51D81DD5-55B7-497F-95DB-D356429BB54E} HKCR\CLSID\{51D81DD5-55B7-497F-95DB-D356429BB54E} HKCR\CLSID\{51D81DD5-55B7-497F-95DB-D356429BB54E} HKCR\CLSID\{51D81DD5-55B7-497F-95DB-D356429BB54E}\Implemented Categories HKCR\CLSID\{51D81DD5-55B7-497F-95DB-D356429BB54E}\Implemented Categories\{00021493-0000-0000-C000-000000000046} HKCR\CLSID\{51D81DD5-55B7-497F-95DB-D356429BB54E}\InprocServer32 HKCR\CLSID\{51D81DD5-55B7-497F-95DB-D356429BB54E}\InprocServer32#ThreadingModel C:\PROGRAMFILER\NETPROJECT\WAMDL.DLL HKLM\Software\Microsoft\Internet Explorer\Toolbar#{51D81DD5-55B7-497F-95DB-D356429BB54E} HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Secure Browsing HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Secure Browsing#DisplayName HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Secure Browsing#UninstallString Unclassified.Unknown Origin HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler#{e89fa8e9-5c0b-45f6-a70e-f7b177bcd193} Adware.Tracking Cookie C:\Documents and Settings\Kjell\Cookies\[email protected][1].txt C:\Documents and Settings\Kjell\Cookies\kjell@adtech[1].txt C:\Documents and Settings\Kjell\Cookies\[email protected][1].txt C:\Documents and Settings\Kjell\Cookies\[email protected][2].txt C:\Documents and Settings\Kjell\Cookies\[email protected][1].txt C:\Documents and Settings\Kjell\Cookies\kjell@advertising[2].txt C:\Documents and Settings\Kjell\Cookies\[email protected][2].txt C:\Documents and Settings\kristoffer sin\Cookies\kristoffer sin@overture[1].txt C:\Documents and Settings\kristoffer sin\Cookies\kristoffer sin@questionmarket[2].txt C:\Documents and Settings\kristoffer sin\Cookies\kristoffer sin@casalemedia[1].txt C:\Documents and Settings\kristoffer sin\Cookies\kristoffer [email protected][2].txt C:\Documents and Settings\kristoffer sin\Cookies\kristoffer [email protected][2].txt C:\Documents and Settings\kristoffer sin\Cookies\kristoffer [email protected][1].txt C:\Documents and Settings\kristoffer sin\Cookies\kristoffer [email protected][2].txt C:\Documents and Settings\kristoffer sin\Cookies\kristoffer [email protected][2].txt C:\Documents and Settings\kristoffer sin\Cookies\kristoffer sin@atdmt[1].txt C:\Documents and Settings\kristoffer sin\Cookies\kristoffer sin@clicksor[2].txt C:\Documents and Settings\kristoffer sin\Cookies\kristoffer [email protected][2].txt C:\Documents and Settings\kristoffer sin\Cookies\kristoffer sin@2o7[1].txt C:\Documents and Settings\kristoffer sin\Cookies\kristoffer [email protected][1].txt C:\Documents and Settings\kristoffer sin\Cookies\kristoffer sin@tribalfusion[2].txt C:\Documents and Settings\kristoffer sin\Cookies\kristoffer sin@serving-sys[1].txt C:\Documents and Settings\kristoffer sin\Cookies\kristoffer [email protected][1].txt C:\Documents and Settings\kristoffer sin\Cookies\kristoffer [email protected][2].txt C:\Documents and Settings\kristoffer sin\Cookies\kristoffer sin@apmebf[1].txt C:\Documents and Settings\kristoffer sin\Cookies\kristoffer [email protected][2].txt C:\Documents and Settings\kristoffer sin\Cookies\kristoffer [email protected][1].txt C:\Documents and Settings\kristoffer sin\Cookies\kristoffer sin@adtech[2].txt C:\Documents and Settings\kristoffer sin\Cookies\kristoffer [email protected][2].txt C:\Documents and Settings\kristoffer sin\Cookies\kristoffer sin@burstnet[2].txt C:\Documents and Settings\kristoffer sin\Cookies\kristoffer sin@adbrite[1].txt C:\Documents and Settings\kristoffer sin\Cookies\kristoffer [email protected][2].txt C:\Documents and Settings\kristoffer sin\Cookies\kristoffer [email protected][2].txt C:\Documents and Settings\kristoffer sin\Cookies\kristoffer sin@tradedoubler[2].txt C:\Documents and Settings\kristoffer sin\Cookies\kristoffer sin@smileycentral[2].txt C:\Documents and Settings\kristoffer sin\Cookies\kristoffer sin@clicktorrent[2].txt C:\Documents and Settings\kristoffer sin\Cookies\kristoffer [email protected][2].txt C:\Documents and Settings\kristoffer sin\Cookies\kristoffer [email protected][2].txt C:\Documents and Settings\kristoffer sin\Cookies\kristoffer [email protected][2].txt C:\Documents and Settings\kristoffer sin\Cookies\kristoffer sin@advertising[1].txt C:\Documents and Settings\kristoffer sin\Cookies\kristoffer sin@doubleclick[1].txt C:\Documents and Settings\kristoffer sin\Cookies\kristoffer [email protected][1].txt C:\Documents and Settings\kristoffer sin\Cookies\kristoffer [email protected][1].txt C:\Documents and Settings\kristoffer sin\Cookies\kristoffer sin@mywebsearch[1].txt C:\Documents and Settings\kristoffer sin\Cookies\kristoffer [email protected][1].txt C:\Documents and Settings\kristoffer sin\Cookies\kristoffer sin@socialmedia[1].txt C:\Documents and Settings\kristoffer sin\Cookies\kristoffer sin@fastclick[1].txt C:\Documents and Settings\kristoffer sin\Cookies\kristoffer sin@statcounter[1].txt C:\Documents and Settings\kristoffer sin\Cookies\kristoffer [email protected][1].txt C:\Documents and Settings\kristoffer sin\Cookies\kristoffer sin@zedo[1].txt C:\Documents and Settings\kristoffer sin\Cookies\kristoffer sin@maxserving[1].txt C:\Documents and Settings\kristoffer sin\Cookies\kristoffer [email protected][1].txt C:\Documents and Settings\kristoffer sin\Cookies\kristoffer [email protected][2].txt C:\Documents and Settings\kristoffer sin\Cookies\kristoffer [email protected][2].txt C:\Documents and Settings\kristoffer sin\Cookies\kristoffer sin@indextools[2].txt C:\Documents and Settings\kristoffer sin\Cookies\kristoffer [email protected][1].txt C:\Documents and Settings\kristoffer sin\Cookies\kristoffer sin@clickbank[1].txt C:\Documents and Settings\kristoffer sin\Cookies\kristoffer [email protected][1].txt C:\Documents and Settings\kristoffer sin\Cookies\kristoffer sin@revsci[1].txt C:\Documents and Settings\kristoffer sin\Cookies\kristoffer sin@mediaonenetwork[1].txt C:\Documents and Settings\kristoffer sin\Cookies\kristoffer [email protected][1].txt C:\Documents and Settings\kristoffer sin\Cookies\kristoffer [email protected][2].txt C:\Documents and Settings\kristoffer sin\Cookies\kristoffer [email protected][1].txt C:\Documents and Settings\kristoffer sin\Cookies\kristoffer sin@adrevolver[1].txt C:\Documents and Settings\kristoffer sin\Cookies\kristoffer [email protected][1].txt C:\Documents and Settings\Raggy\Cookies\raggy@adtech[2].txt C:\Documents and Settings\Raggy\Cookies\raggy@indexstats[1].txt C:\Documents and Settings\Raggy\Cookies\[email protected][1].txt C:\Documents and Settings\Raggy\Cookies\[email protected][1].txt C:\Documents and Settings\Raggy\Cookies\[email protected][1].txt C:\Documents and Settings\Raggy\Cookies\[email protected][1].txt C:\Documents and Settings\Raggy\Cookies\raggy@questionmarket[2].txt C:\Documents and Settings\Raggy\Cookies\[email protected][1].txt C:\Documents and Settings\Raggy\Cookies\[email protected][1].txt C:\Documents and Settings\Raggy\Cookies\[email protected][2].txt C:\Documents and Settings\Raggy\Cookies\raggy@tribalfusion[2].txt C:\Documents and Settings\Raggy\Cookies\raggy@casalemedia[2].txt C:\Documents and Settings\Raggy\Cookies\[email protected][1].txt C:\Documents and Settings\Raggy\Cookies\raggy@2o7[1].txt C:\Documents and Settings\Raggy\Cookies\raggy@serving-sys[1].txt C:\Documents and Settings\Raggy\Cookies\raggy@revsci[1].txt C:\Documents and Settings\Raggy\Cookies\raggy@realmedia[1].txt C:\Documents and Settings\Raggy\Cookies\raggy@fastclick[1].txt C:\Documents and Settings\Raggy\Cookies\raggy@apmebf[1].txt C:\Documents and Settings\Raggy\Cookies\raggy@doubleclick[1].txt C:\Documents and Settings\Raggy\Cookies\[email protected][1].txt C:\Documents and Settings\Raggy\Cookies\raggy@mediaplex[1].txt C:\Documents and Settings\Raggy\Cookies\[email protected][1].txt C:\Documents and Settings\Raggy\Cookies\raggy@azjmp[2].txt C:\Documents and Settings\Raggy\Cookies\raggy@atdmt[2].txt C:\Documents and Settings\Raggy\Cookies\raggy@indextools[2].txt C:\Documents and Settings\Raggy\Cookies\[email protected][2].txt C:\Documents and Settings\Raggy\Cookies\[email protected][1].txt C:\Documents and Settings\Raggy\Cookies\[email protected][1].txt C:\Documents and Settings\Raggy\Cookies\[email protected][2].txt C:\Documents and Settings\Raggy\Cookies\raggy@statcounter[1].txt C:\Documents and Settings\Raggy\Cookies\raggy@specificclick[2].txt C:\Documents and Settings\Raggy\Cookies\[email protected][1].txt C:\Documents and Settings\Raggy\Cookies\raggy@mywebsearch[1].txt C:\Documents and Settings\Raggy\Cookies\[email protected][2].txt C:\Documents and Settings\Raggy\Cookies\raggy@tradedoubler[2].txt C:\Documents and Settings\Raggy\Cookies\raggy@247realmedia[1].txt C:\Documents and Settings\Raggy\Cookies\[email protected][1].txt C:\Documents and Settings\Raggy\Cookies\raggy@advertising[1].txt C:\Documents and Settings\Raggy\Cookies\[email protected][2].txt C:\Documents and Settings\Raggy\Cookies\[email protected][1].txt C:\Documents and Settings\Raggy\Lokale innstillinger\Temp\Cookies\raggy@doubleclick[1].txt Trojan.Downloader-Gen/Suspicious C:\SYSTEM VOLUME INFORMATION\_RESTORE{FB5638F6-5931-4F4A-9D57-CF83E64AEF9F}\RP634\A0102948.EXE C:\SYSTEM VOLUME INFORMATION\_RESTORE{FB5638F6-5931-4F4A-9D57-CF83E64AEF9F}\RP634\A0102950.EXE Rogue.NetProject-Installer C:\SYSTEM VOLUME INFORMATION\_RESTORE{FB5638F6-5931-4F4A-9D57-CF83E64AEF9F}\RP634\A0102949.EXE C:\SYSTEM VOLUME INFORMATION\_RESTORE{FB5638F6-5931-4F4A-9D57-CF83E64AEF9F}\RP634\A0102951.EXE C:\SYSTEM VOLUME INFORMATION\_RESTORE{FB5638F6-5931-4F4A-9D57-CF83E64AEF9F}\RP634\A0102954.EXE Adware.E404 Helper/Variant-C C:\SYSTEM VOLUME INFORMATION\_RESTORE{FB5638F6-5931-4F4A-9D57-CF83E64AEF9F}\RP634\A0103002.DLL ------------------------------------------------ Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:18:39, on 08.06.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programfiler\Intel\Wireless\Bin\EvtEng.exe C:\Programfiler\Intel\Wireless\Bin\S24EvMon.exe C:\Programfiler\Intel\Wireless\Bin\WLKeeper.exe C:\Documents and Settings\Kjell\Mine dokumenter\NORTON\Norman\Npm\bin\ELOGSVC.EXE C:\Documents and Settings\Kjell\Mine dokumenter\NORTON\Norman\Npm\Bin\Zanda.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programfiler\Intel\Wireless\Bin\ZcfgSvc.exe C:\Programfiler\Apoint\Apoint.exe C:\WINDOWS\system32\hkcmd.exe C:\Programfiler\Java\jre1.5.0_03\bin\jusched.exe C:\Programfiler\Intel\Wireless\Bin\ifrmewrk.exe C:\Programfiler\Dell\QuickSet\quickset.exe C:\Programfiler\filer\CyberLink\PowerDVD\DVDLauncher.exe C:\WINDOWS\system32\dla\tfswctrl.exe C:\WINDOWS\system32\STATUS.EXE C:\Programfiler\QuickTime\qttask.exe C:\Programfiler\Java\jre1.5.0_03\bin\jucheck.exe C:\Programfiler\ScanSoft\OmniPageSE2.0\OpwareSE2.exe C:\Documents and Settings\Kjell\Mine dokumenter\NORTON\Norman\Npm\bin\ZLH.EXE C:\Programfiler\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe C:\WINDOWS\system32\ctfmon.exe C:\Documents and Settings\Kjell\Mine dokumenter\NORTON\Norman\Nvc\BIN\NIP.EXE C:\Programfiler\Apoint\Apntex.exe C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe C:\Programfiler\Fellesfiler\Teleca Shared\CapabilityManager.exe C:\Programfiler\SUPERAntiSpyware\SUPERAntiSpyware.exe C:\PROGRA~1\INCRED~1\bin\IMApp.exe C:\Programfiler\Digital Line Detect\DLG.exe C:\Programfiler\Fellesfiler\Teleca Shared\Generic.exe C:\Programfiler\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe C:\Programfiler\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe C:\Programfiler\Dell\NICCONFIGSVC\NICCONFIGSVC.exe C:\Programfiler\Intel\Wireless\Bin\RegSrvc.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wdfmgr.exe C:\Documents and Settings\Kjell\Mine dokumenter\NORTON\Norman\Npm\bin\NJEEVES.EXE C:\Documents and Settings\Kjell\Mine dokumenter\NORTON\Norman\Nvc\BIN\NVCSCHED.EXE C:\Documents and Settings\Kjell\Mine dokumenter\NORTON\Norman\Nvc\bin\nvcoas.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\WINDOWS\System32\alg.exe C:\Documents and Settings\Kjell\Mine dokumenter\NORTON\Norman\Nvc\bin\cclaw.exe C:\Programfiler\Fellesfiler\Microsoft Shared\Windows Live\WLLoginProxy.exe C:\WINDOWS\explorer.exe C:\Programfiler\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\system32\wuauclt.exe C:\Programfiler\Trend Micro\test.exe\HijackThis.exe C:\WINDOWS\system32\wbem\wmiprvse.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://internetsearchservice.com R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://internetsearchservice.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://internetsearchservice.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startsiden.no/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://internetsearchservice.com/ie6.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://internetsearchservice.com R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www1.euro.dell.com/content/default....;l=no&s=gen R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koblinger R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programfiler\Macrogaming\SweetIMBarForIE\toolbar.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programfiler\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programfiler\Canon\Easy-WebPrint\EWPBrowseLoader.dll O2 - BHO: Påloggingshjelp for Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programfiler\Fellesfiler\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programfiler\MSN Apps\ST1.03.0000.1005\en-xu\stmain.dll O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programfiler\MSN Apps\MSN Toolbar\MSN Toolbar1.02.5000.1021\no\msntb.dll O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programfiler\MSN Apps\MSN Toolbar\MSN Toolbar1.02.5000.1021\no\msntb.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programfiler\Canon\Easy-WebPrint\Toolband.dll O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programfiler\Macrogaming\SweetIMBarForIE\toolbar.dll O4 - HKLM\..\Run: [Apoint] C:\Programfiler\Apoint\Apoint.exe O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Programfiler\Java\jre1.5.0_03\bin\jusched.exe O4 - HKLM\..\Run: [intelWireless] C:\Programfiler\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless O4 - HKLM\..\Run: [Dell QuickSet] C:\Programfiler\Dell\QuickSet\quickset.exe O4 - HKLM\..\Run: [DVDLauncher] "C:\Programfiler\filer\CyberLink\PowerDVD\DVDLauncher.exe" O4 - HKLM\..\Run: [updateManager] "C:\Programfiler\Fellesfiler\Sonic\Update Manager\sgtray.exe" /r O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe O4 - HKLM\..\Run: [sTATUS] STATUS.EXE O4 - HKLM\..\Run: [QuickTime Task] "C:\Programfiler\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iSDNStatus] C:\Programfiler\ISDN_UTL\isdnsta.exe O4 - HKLM\..\Run: [OpwareSE2] "C:\Programfiler\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" O4 - HKLM\..\Run: [Norman ZANDA] C:\Documents and Settings\Kjell\Mine dokumenter\NORTON\Norman\Npm\bin\ZLH.EXE /LOAD /SPLASH O4 - HKLM\..\Run: [sony Ericsson PC Suite] "C:\Programfiler\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions O4 - HKLM\..\Run: [sweetIM] C:\Programfiler\Macrogaming\SweetIM\SweetIM.exe O4 - HKLM\..\Run: [Antivirus] C:\Programfiler\WAV\wav.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programfiler\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [incrediMail] C:\Programfiler\IncrediMail\bin\IncMail.exe /c O4 - HKCU\..\Run: [sUPERAntiSpyware] C:\Programfiler\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKAL TJENESTE') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETTVERKSTJENESTE') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programfiler\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Digital Line Detect.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programfiler\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/...arch.jhtml?p=ZK O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Easy-WebPrint Add To Print List - res://C:\Programfiler\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html O8 - Extra context menu item: Easy-WebPrint High Speed Print - res://C:\Programfiler\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint Preview - res://C:\Programfiler\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint Print - res://C:\Programfiler\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {5C6698D9-7BE4-4122-8EC5-291D84DBD4A0} (Facebook Photo Uploader 4 Control) - http://upload.facebook.com/controls/Facebo...toUploader3.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab O20 - Winlogon Notify: !SASWinLogon - C:\Programfiler\SUPERAntiSpyware\SASWINLO.dll O23 - Service: Norman eLogger service 6 (eLoggerSvc6) - Norman ASA - C:\Documents and Settings\Kjell\Mine dokumenter\NORTON\Norman\Npm\bin\ELOGSVC.EXE O23 - Service: EvtEng - Intel Corporation - C:\Programfiler\Intel\Wireless\Bin\EvtEng.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programfiler\Fellesfiler\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programfiler\Dell\NICCONFIGSVC\NICCONFIGSVC.exe O23 - Service: Norman NJeeves - Unknown owner - C:\Documents and Settings\Kjell\Mine dokumenter\NORTON\Norman\Npm\bin\NJEEVES.EXE O23 - Service: Norman ZANDA - Norman ASA - C:\Documents and Settings\Kjell\Mine dokumenter\NORTON\Norman\Npm\Bin\Zanda.exe O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Documents and Settings\Kjell\Mine dokumenter\NORTON\Norman\Nvc\bin\nvcoas.exe O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman ASA - C:\Documents and Settings\Kjell\Mine dokumenter\NORTON\Norman\Nvc\BIN\NVCSCHED.EXE O23 - Service: RegSrvc - Intel Corporation - C:\Programfiler\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programfiler\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: WLANKEEPER - Intel® Corporation - C:\Programfiler\Intel\Wireless\Bin\WLKeeper.exe -- End of file - 11455 bytes log.txt Logg.txt Lenke til kommentar
r2d290 Skrevet 8. juni 2008 Del Skrevet 8. juni 2008 (endret) NB: Les gjennom hele veiledningen før du gjør noe, og les nøye. Gjør det jeg ber deg om her, i den rekkefølgen jeg har skrevet det i. Avgjør om du trenger SweetIM (smily sentral). Du kan avinstallere det fra kontrollpanel ->legg til/fjern programmer. Hva med SweetIM, Messenger Plus! o.l Det største problemet med disse programmene er at de, om de ikke selv nødvendigvis inneholder spyware (i Messenger Pluss! har du muligheten til ikke å installere sponsorprogrammet), støtter de bruken samt har et noe slapt forhold til det å dele informasjon som du som bruker legger igjen i disse programmene med tredjepart. Sjekk litt før du ukritisk installerer slike programmer. Jeg ville derfor anbefalt at du avinstallerer det. Gå inn på http://virusscan.jotti.org/ og last opp følgende fil til analyse: C:\WINDOWS\system32\STATUS.EXE Hvis noen av programmene finner noe mistenklig, kopierer du det inn hit. Fix følgende oppføringer med HijackThis: (Klikk på linken nedenfor for å få mer info om hvordan du sletter en oppføring) Kjør hijackthis.exe. Velg "Do a system scan only" 1. Kryss av for de oppførningene som er markert med fet skrift nedenfor. Avslutt alle programmer (utenom HijackThis), nettlesere, vinduer og evt. antispywareprogram. 2. Trykk på knappen "Fix checked". 3. Trykk Ja/yes for å fjerne oppførningene. 4. Restart maskinen, og post en ny HijackThis-log. R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://internetsearchservice.com R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://internetsearchservice.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://internetsearchservice.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://internetsearchservice.com/ie6.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://internetsearchservice.com O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/...arch.jhtml?p=ZK Post ny hijackthis-logg, og fortell hvordan pc-en kjører nå. Mens du venter på respons for den nye hijackthis-loggen du skal poste, kan du gjøre følgende: Oppdater Java: Trykk på følgende link, og last ned nyeste verson av Java (Ikke beta):http://java.sun.com/javase/downloads/index.jsp Gå til Start > Kontroll Panel > Legg til/fjern programmer. Søk i listen over alle tidligere versoner av Java (JRE, J2SE Runtime, J2RE osv.... ) Alle disse versonene bør ha dette bildet foran: Velg alle du finner, og fjern dem. Installer deretter den Java-versonen som du lastet ned i starten. Bruk pc-en litt, og gi tilbakemelding om hvordan maskinen fungerer. Si også ifra hvis det er noe du ikke forstår. IKKE gjør noe dersom du er usikker, da er det bedre at du spør her først Endret 8. juni 2008 av r2d290 Lenke til kommentar
Ragnild89 Skrevet 9. juni 2008 Forfatter Del Skrevet 9. juni 2008 Hvilke filer er det jeg skal fikse med HijackThis? De filene jeg har, heter ikke akkurat det samme som de på bilde? Eller er det nok at de begynner likt..? Eller er det de tre øverste? Lenke til kommentar
r2d290 Skrevet 9. juni 2008 Del Skrevet 9. juni 2008 (endret) edit: ops, ble litt feil det der. bildet er altså bare et eksempel. det er det i fet skrift, altså R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://internetsearchservice.com R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://internetsearchservice.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://internetsearchservice.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://internetsearchservice.com/ie6.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://internetsearchservice.com O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/...arch.jhtml?p=ZK du skal fikse Endret 9. juni 2008 av r2d290 Lenke til kommentar
Ragnild89 Skrevet 9. juni 2008 Forfatter Del Skrevet 9. juni 2008 Jepp, kjempe flott, skjønte det like etter jeg sendte det forrige innlegget, lille blonde meg:P Har tatt den virusscannen og den fant ingenting, legger ut Hijackthis-loggen nå.. Skal laste ned Java nå. Men dataen virker helt fin nå, før jeg begynte med dette var den helt idiotisk.. hijackthislog2.txt Lenke til kommentar
r2d290 Skrevet 9. juni 2008 Del Skrevet 9. juni 2008 gjør et nytt forsøk med å fikse R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://internetsearchservice.com Den er der fortsatt. Hva bestemte du deg for med SweetIM? Lenke til kommentar
Ragnild89 Skrevet 9. juni 2008 Forfatter Del Skrevet 9. juni 2008 Jeg tror jeg beholder den.. Eller hva anbefaler du? Skal jeg poste en log til etter at jeg har prøvd å fjerne den siste? Lenke til kommentar
r2d290 Skrevet 9. juni 2008 Del Skrevet 9. juni 2008 (endret) JEG ville ha fjernet det. Det støtter opp praksisen med å måtte installere programmer som man som oftest ikke ønsker, og det har jeg mye imot. Men skal ikke nekte deg å beholde det hvis det blir brukt mye, så lenge det ikke blir påvist Malware med det edit: ja, post HijackThis-logg. Så kan vi se hvordan det ser ut. (norbat/snippsat må gjerne "godkjenne" ) Endret 9. juni 2008 av r2d290 Lenke til kommentar
Ragnild89 Skrevet 9. juni 2008 Forfatter Del Skrevet 9. juni 2008 (endret) Her er uansett loggen.. Hva er Malware? Hilsen ei med liiiite peil.. hehe hijackthislog3.txt Endret 9. juni 2008 av Ragnild89 Lenke til kommentar
r2d290 Skrevet 9. juni 2008 Del Skrevet 9. juni 2008 Malware kommer av de engelske ordene Malicious Software og er en fellesbetegnelse på ondsinnet programvare. Eksempler på malware er datavirus, ormer, trojanere, spyware, adware, backdoors, spam, phishing, pharming, DDoS, Keyloggers og browser helper objects. kilde: wikipedia.no Lenke til kommentar
Ragnild89 Skrevet 9. juni 2008 Forfatter Del Skrevet 9. juni 2008 Men kan du se om maskinen ser grei ut nå? Den virker vertfall normal slik den oppfører seg.. Betyr det at viruset er fjernet eller? Lenke til kommentar
r2d290 Skrevet 9. juni 2008 Del Skrevet 9. juni 2008 (endret) Jeg overså vist noe. du skal også fikse O4 - HKLM\..\Run: [Antivirus] C:\Programfiler\WAV\wav.exe Restart derettermaskinen, og kom med en siste hijackthis-logg edit: installer java før du poster logg. Siden du har en såpass gammel verson, er det veldig viktig at du oppdaterer den. Endret 9. juni 2008 av r2d290 Lenke til kommentar
Ragnild89 Skrevet 9. juni 2008 Forfatter Del Skrevet 9. juni 2008 Tenkte jeg skulle fjerne SweetIM også, men kunne ikke finne det på fjerne/legg til program..? Skal restarte maskinen nå, kommer med en siste logg snart.. Lenke til kommentar
Ragnild89 Skrevet 9. juni 2008 Forfatter Del Skrevet 9. juni 2008 (endret) Den siste loggen. Kan du se om det ser bra ut nå? Er det noe annet jeg bør gjøre, med antivirus program eller noe? hijackthislog4.txt Endret 9. juni 2008 av Ragnild89 Lenke til kommentar
r2d290 Skrevet 9. juni 2008 Del Skrevet 9. juni 2008 Da tror jeg du er ren, og java er oppdatert. Du har norman antivirus. Hvis du er fornøyd med den, beholder du den. Pass på å holde den oppdatert. Antispyware: SUPERantispyware. hold det oppdatert, og scan minst en gang i uka. Dette programmet har du alerede på maskina. Brannmur: comodo: http://www.personalfirewall.comodo.com/ eller online armor: http://www.tallemu.com/ mulig online armor er mest brukervennlig. ellers, kan du bruke Ccleaner av og til. Kjør vanlig rens, og registerrens. avinstaller combofix start->kjør skriv: combofix /u Dette vil avinstallere combofix, fjerne midlertidige filer, og lage et nytt gjenoprettingspunkt som gjør at du kan stille pc-en tilbake til dette tidspunkt da pc-en er ren. Dersom du mener at problemet med maskinen din er løst, kan du endre emnetittelen din, ved å trykke på i førsteposten din, og velge full redigering. Øverst der emnetittelen diner, skriver du: [LØST] foran emnetittelen din. Eks: [LØST] Har fått virus på maskinen -Surf trygt- Lenke til kommentar
Ragnild89 Skrevet 9. juni 2008 Forfatter Del Skrevet 9. juni 2008 Oki, du må ha tusen tusen takk for hjelpen=) Evig takknemlig;) Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå