heinest Skrevet 10. juni 2008 Del Skrevet 10. juni 2008 (endret) Jeg har fått et problem med spyware som ikke lar seg fjerne med Spyware Doctor eller Spyboot. Jeg får til stadighet opp en gul varseltrekant på oppgavelinjen som sier at jeg har fått virus. Skrivebordsbakgrunnen får også en tekst som sier jeg har blitt infisert. Samtidig får jeg opp ett rødt vindu med teksten "Windows Security Center system warning". Jeg har lest at HijackThis kan løse problemet. (Jeg har dessverre ikke mulighet for Systemgjenoppretting, da denne var slått av). Jeg har kjørt HijackThis og kjørt en "Scan" i "sikkermodus" og deretter lagret en logfil. Kan noen hjlpe meg? Se vedlagt loggfil. hijackthis_june10.txt Endret 12. juni 2008 av heinest Lenke til kommentar
norbat Skrevet 10. juni 2008 Del Skrevet 10. juni 2008 (endret) Start hjt, velg "Do a system scan only", sett merke framfor følgnede linjer og klikk Fix checked: Lukk nettleseren før du klikker Fix checked F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\iftuyszv.exe, O2 - BHO: (no name) - {00110011-4b0b-44d5-9718-90c88817369b} - (no file) O2 - BHO: (no name) - {06E12C36-760F-4D92-8509-5E5DBF12C423} - (no file) O2 - BHO: (no name) - {086ae192-23a6-48d6-96ec-715f53797e85} - (no file) O2 - BHO: (no name) - {150fa160-130d-451f-b863-b655061432ba} - (no file) O2 - BHO: (no name) - {17da0c9e-4a27-4ac5-bb75-5d24b8cdb972} - (no file) O2 - BHO: (no name) - {1f48aa48-c53a-4e21-85e7-ac7cc6b5ffb1} - (no file) O2 - BHO: (no name) - {1f48aa48-c53a-4e21-85e7-ac7cc6b5ffb2} - (no file) O2 - BHO: (no name) - {2d38a51a-23c9-48a1-a33c-48675aa2b494} - (no file) O2 - BHO: (no name) - {2e9caff6-30c7-4208-8807-e79d4ec6f806} - (no file) O2 - BHO: (no name) - {38BB23AA-0EA4-4A1B-B782-8E7745240EE9} - (no file) O2 - BHO: (no name) - {467faeb2-5f5b-4c81-bae0-2a4752ca7f4e} - (no file) O2 - BHO: (no name) - {5321e378-ffad-4999-8c62-03ca8155f0b3} - (no file) O2 - BHO: (no name) - {587dbf2d-9145-4c9e-92c2-1f953da73773} - (no file) O2 - BHO: (no name) - {5CA3D70E-1895-11CF-8E15-001234567890} - (no file) O2 - BHO: (no name) - {6cc1c91a-ae8b-4373-a5b4-28ba1851e39a} - (no file) O2 - BHO: (no name) - {79369d5c-2903-4b7a-ade2-d5e0dee14d24} - (no file) O2 - BHO: (no name) - {799a370d-5993-4887-9df7-0a4756a77d00} - (no file) O2 - BHO: (no name) - {899202FF-9593-415D-8DBE-02282A77FE36} - (no file) O2 - BHO: (no name) - {98dbbf16-ca43-4c33-be80-99e6694468a4} - (no file) O2 - BHO: (no name) - {a55581dc-2cdb-4089-8878-71a080b22342} - (no file) O2 - BHO: (no name) - {b847676d-72ac-4393-bfff-43a1eb979352} - (no file) O2 - BHO: (no name) - {bc97b254-b2b9-4d40-971d-78e0978f5f26} - (no file) O2 - BHO: (no name) - {c8871178-9d7e-4bf6-a100-1ad44c98587a} - (no file) O2 - BHO: (no name) - {cf021f40-3e14-23a5-cba2-717765721306} - (no file) O2 - BHO: (no name) - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - (no file) O2 - BHO: (no name) - {e2ddf680-9905-4dee-8c64-0a5de7fe133c} - (no file) O2 - BHO: (no name) - {e3eebbe8-9cab-4c76-b26a-747e25ebb4c6} - (no file) O2 - BHO: (no name) - {e7afff2a-1b57-49c7-bf6b-e5123394c970} - (no file) O2 - BHO: (no name) - {fcaddc14-bd46-408a-9842-cdbe1c6d37eb} - (no file) O2 - BHO: (no name) - {fd9bc004-8331-4457-b830-4759ff704c22} - (no file) O2 - BHO: (no name) - {ff1bf4c7-4e08-4a28-a43f-9d60a9f7a880} - (no file) O2 - BHO: Microsoft copyright - {FFFFFFFF-BBBB-4146-86FD-A722E8AB3489} - sockins32.dll (file missing) O4 - HKLM\..\Run: [bM6f448e1a] Rundll32.exe "C:\WINDOWS\system32\xhjysmql.dll",s O4 - HKCU\..\Run: [Microsoft Windows Installer] C:\Documents and Settings\Heine\Programdata\Microsoft\dtsc\28166.exe O20 - Winlogon Notify: geBqOhHb - geBqOhHb.dll (file missing) O21 - SSODL: WebProxy - {66186F05-BBBB-4a39-864F-72D84615C679} - sockins32.dll (file missing) O23 - Service: MsSecurity Updated (MsSecurity1.209.4) - Unknown owner - C:\WINDOWS\444.0.exe (file missing) Hent Combofix, og legg det på skrivebordet Kjør combofix.exe, og følg veiledningen. Du må ikke klikke på vinduet mens programmet kjører. Post loggfilen fra combofix (c:\combofix.txt) Endret 10. juni 2008 av norbat Lenke til kommentar
heinest Skrevet 10. juni 2008 Forfatter Del Skrevet 10. juni 2008 OK, takk, jeg forsøker nå det du foreslo. Start hjt, velg "Do a system scan only", sett merke framfor følgnede linjer og klikk Fix checked: Lukk nettleseren før du klikker Fix checkedF2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\iftuyszv.exe, O2 - BHO: (no name) - {00110011-4b0b-44d5-9718-90c88817369b} - (no file) O2 - BHO: (no name) - {06E12C36-760F-4D92-8509-5E5DBF12C423} - (no file) O2 - BHO: (no name) - {086ae192-23a6-48d6-96ec-715f53797e85} - (no file) O2 - BHO: (no name) - {150fa160-130d-451f-b863-b655061432ba} - (no file) O2 - BHO: (no name) - {17da0c9e-4a27-4ac5-bb75-5d24b8cdb972} - (no file) O2 - BHO: (no name) - {1f48aa48-c53a-4e21-85e7-ac7cc6b5ffb1} - (no file) O2 - BHO: (no name) - {1f48aa48-c53a-4e21-85e7-ac7cc6b5ffb2} - (no file) O2 - BHO: (no name) - {2d38a51a-23c9-48a1-a33c-48675aa2b494} - (no file) O2 - BHO: (no name) - {2e9caff6-30c7-4208-8807-e79d4ec6f806} - (no file) O2 - BHO: (no name) - {38BB23AA-0EA4-4A1B-B782-8E7745240EE9} - (no file) O2 - BHO: (no name) - {467faeb2-5f5b-4c81-bae0-2a4752ca7f4e} - (no file) O2 - BHO: (no name) - {5321e378-ffad-4999-8c62-03ca8155f0b3} - (no file) O2 - BHO: (no name) - {587dbf2d-9145-4c9e-92c2-1f953da73773} - (no file) O2 - BHO: (no name) - {5CA3D70E-1895-11CF-8E15-001234567890} - (no file) O2 - BHO: (no name) - {6cc1c91a-ae8b-4373-a5b4-28ba1851e39a} - (no file) O2 - BHO: (no name) - {79369d5c-2903-4b7a-ade2-d5e0dee14d24} - (no file) O2 - BHO: (no name) - {799a370d-5993-4887-9df7-0a4756a77d00} - (no file) O2 - BHO: (no name) - {899202FF-9593-415D-8DBE-02282A77FE36} - (no file) O2 - BHO: (no name) - {98dbbf16-ca43-4c33-be80-99e6694468a4} - (no file) O2 - BHO: (no name) - {a55581dc-2cdb-4089-8878-71a080b22342} - (no file) O2 - BHO: (no name) - {b847676d-72ac-4393-bfff-43a1eb979352} - (no file) O2 - BHO: (no name) - {bc97b254-b2b9-4d40-971d-78e0978f5f26} - (no file) O2 - BHO: (no name) - {c8871178-9d7e-4bf6-a100-1ad44c98587a} - (no file) O2 - BHO: (no name) - {cf021f40-3e14-23a5-cba2-717765721306} - (no file) O2 - BHO: (no name) - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - (no file) O2 - BHO: (no name) - {e2ddf680-9905-4dee-8c64-0a5de7fe133c} - (no file) O2 - BHO: (no name) - {e3eebbe8-9cab-4c76-b26a-747e25ebb4c6} - (no file) O2 - BHO: (no name) - {e7afff2a-1b57-49c7-bf6b-e5123394c970} - (no file) O2 - BHO: (no name) - {fcaddc14-bd46-408a-9842-cdbe1c6d37eb} - (no file) O2 - BHO: (no name) - {fd9bc004-8331-4457-b830-4759ff704c22} - (no file) O2 - BHO: (no name) - {ff1bf4c7-4e08-4a28-a43f-9d60a9f7a880} - (no file) O2 - BHO: Microsoft copyright - {FFFFFFFF-BBBB-4146-86FD-A722E8AB3489} - sockins32.dll (file missing) O4 - HKLM\..\Run: [bM6f448e1a] Rundll32.exe "C:\WINDOWS\system32\xhjysmql.dll",s O4 - HKCU\..\Run: [Microsoft Windows Installer] C:\Documents and Settings\Heine\Programdata\Microsoft\dtsc\28166.exe O20 - Winlogon Notify: geBqOhHb - geBqOhHb.dll (file missing) O21 - SSODL: WebProxy - {66186F05-BBBB-4a39-864F-72D84615C679} - sockins32.dll (file missing) O23 - Service: MsSecurity Updated (MsSecurity1.209.4) - Unknown owner - C:\WINDOWS\444.0.exe (file missing) Hent Combofix, og legg det på skrivebordet Kjør combofix.exe, og følg veiledningen. Du må ikke klikke på vinduet mens programmet kjører. Post loggfilen fra combofix (c:\combofix.txt) Lenke til kommentar
heinest Skrevet 10. juni 2008 Forfatter Del Skrevet 10. juni 2008 Start hjt, velg "Do a system scan only", sett merke framfor følgnede linjer og klikk Fix checked: Lukk nettleseren før du klikker Fix checkedF2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\iftuyszv.exe, O2 - BHO: (no name) - {00110011-4b0b-44d5-9718-90c88817369b} - (no file) O2 - BHO: (no name) - {06E12C36-760F-4D92-8509-5E5DBF12C423} - (no file) O2 - BHO: (no name) - {086ae192-23a6-48d6-96ec-715f53797e85} - (no file) O2 - BHO: (no name) - {150fa160-130d-451f-b863-b655061432ba} - (no file) O2 - BHO: (no name) - {17da0c9e-4a27-4ac5-bb75-5d24b8cdb972} - (no file) O2 - BHO: (no name) - {1f48aa48-c53a-4e21-85e7-ac7cc6b5ffb1} - (no file) O2 - BHO: (no name) - {1f48aa48-c53a-4e21-85e7-ac7cc6b5ffb2} - (no file) O2 - BHO: (no name) - {2d38a51a-23c9-48a1-a33c-48675aa2b494} - (no file) O2 - BHO: (no name) - {2e9caff6-30c7-4208-8807-e79d4ec6f806} - (no file) O2 - BHO: (no name) - {38BB23AA-0EA4-4A1B-B782-8E7745240EE9} - (no file) O2 - BHO: (no name) - {467faeb2-5f5b-4c81-bae0-2a4752ca7f4e} - (no file) O2 - BHO: (no name) - {5321e378-ffad-4999-8c62-03ca8155f0b3} - (no file) O2 - BHO: (no name) - {587dbf2d-9145-4c9e-92c2-1f953da73773} - (no file) O2 - BHO: (no name) - {5CA3D70E-1895-11CF-8E15-001234567890} - (no file) O2 - BHO: (no name) - {6cc1c91a-ae8b-4373-a5b4-28ba1851e39a} - (no file) O2 - BHO: (no name) - {79369d5c-2903-4b7a-ade2-d5e0dee14d24} - (no file) O2 - BHO: (no name) - {799a370d-5993-4887-9df7-0a4756a77d00} - (no file) O2 - BHO: (no name) - {899202FF-9593-415D-8DBE-02282A77FE36} - (no file) O2 - BHO: (no name) - {98dbbf16-ca43-4c33-be80-99e6694468a4} - (no file) O2 - BHO: (no name) - {a55581dc-2cdb-4089-8878-71a080b22342} - (no file) O2 - BHO: (no name) - {b847676d-72ac-4393-bfff-43a1eb979352} - (no file) O2 - BHO: (no name) - {bc97b254-b2b9-4d40-971d-78e0978f5f26} - (no file) O2 - BHO: (no name) - {c8871178-9d7e-4bf6-a100-1ad44c98587a} - (no file) O2 - BHO: (no name) - {cf021f40-3e14-23a5-cba2-717765721306} - (no file) O2 - BHO: (no name) - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - (no file) O2 - BHO: (no name) - {e2ddf680-9905-4dee-8c64-0a5de7fe133c} - (no file) O2 - BHO: (no name) - {e3eebbe8-9cab-4c76-b26a-747e25ebb4c6} - (no file) O2 - BHO: (no name) - {e7afff2a-1b57-49c7-bf6b-e5123394c970} - (no file) O2 - BHO: (no name) - {fcaddc14-bd46-408a-9842-cdbe1c6d37eb} - (no file) O2 - BHO: (no name) - {fd9bc004-8331-4457-b830-4759ff704c22} - (no file) O2 - BHO: (no name) - {ff1bf4c7-4e08-4a28-a43f-9d60a9f7a880} - (no file) O2 - BHO: Microsoft copyright - {FFFFFFFF-BBBB-4146-86FD-A722E8AB3489} - sockins32.dll (file missing) O4 - HKLM\..\Run: [bM6f448e1a] Rundll32.exe "C:\WINDOWS\system32\xhjysmql.dll",s O4 - HKCU\..\Run: [Microsoft Windows Installer] C:\Documents and Settings\Heine\Programdata\Microsoft\dtsc\28166.exe O20 - Winlogon Notify: geBqOhHb - geBqOhHb.dll (file missing) O21 - SSODL: WebProxy - {66186F05-BBBB-4a39-864F-72D84615C679} - sockins32.dll (file missing) O23 - Service: MsSecurity Updated (MsSecurity1.209.4) - Unknown owner - C:\WINDOWS\444.0.exe (file missing) Hent Combofix, og legg det på skrivebordet Kjør combofix.exe, og følg veiledningen. Du må ikke klikke på vinduet mens programmet kjører. Post loggfilen fra combofix (c:\combofix.txt) OK, har kjørt combofix (rakk å se Sverige score 2 ganger også :-)), og legger ved loggfilen. combofix_log.txt Lenke til kommentar
norbat Skrevet 10. juni 2008 Del Skrevet 10. juni 2008 Det ligger fortsatt filer igjen, så før vi begyner med en evt. manuel fjerning, så laster du ned gratisversjonen til SAS, installerer, oppdaterer og kjører en full scan på c: (hvis du har flere partisjoner, så la det bare være c: som er merket) Etter restart, kjører du combofix på ny og poster loggen den lager sammen med loggen fra SAS (preferences->statistics/logs) Lenke til kommentar
heinest Skrevet 10. juni 2008 Forfatter Del Skrevet 10. juni 2008 Det ligger fortsatt filer igjen, så før vi begyner med en evt. manuel fjerning, så laster du ned gratisversjonen til SAS, installerer, oppdaterer og kjører en full scan på c: (hvis du har flere partisjoner, så la det bare være c: som er merket) Etter restart, kjører du combofix på ny og poster loggen den lager sammen med loggen fra SAS (preferences->statistics/logs) Jepp, ser ut til at jeg har fått fjernet det værste med SAS. Kommer ikke opp noen pop-ups nå. Legger ved loggene fra combofix og SAS. Tror du vi har klart det? Det ligger fortsatt filer igjen, så før vi begyner med en evt. manuel fjerning, så laster du ned gratisversjonen til SAS, installerer, oppdaterer og kjører en full scan på c: (hvis du har flere partisjoner, så la det bare være c: som er merket) Etter restart, kjører du combofix på ny og poster loggen den lager sammen med loggen fra SAS (preferences->statistics/logs) Jepp, ser ut til at jeg har fått fjernet det værste med SAS. Kommer ikke opp noen pop-ups nå. Legger ved loggene fra combofix og SAS. Tror du vi har klart det? ...og her er logg-filen til SAS combofix_log2.txt Lenke til kommentar
heinest Skrevet 10. juni 2008 Forfatter Del Skrevet 10. juni 2008 ...forsøker igjen, ikke lett dette. Var feil format på SAS logg-fila. Men nå skal den være vedlagt. Beklager alle mld SAS_logg.txt Lenke til kommentar
norbat Skrevet 10. juni 2008 Del Skrevet 10. juni 2008 SAS fjernet ikke alt, så igjen, før vi tar resten manuelt, så tar vi en scanner til (dette for å se hvilken av dem - SAS eller Malwarbytes A-M, som tar denne infeksjonen best): Last ned Malwarebytes A-M til skrivebordet. Kjør fila og installer programmet. La programmet oppdatere seg og velg å kjør en quick scan. Du får en meldingsboks når programmet er ferdigkjørt Klikk deretter på Show Results-knappen. Hvis det er funnet malware, vil du nå se hva som er funnet. Klikk så på Remove Selected -knappen for å fjerne malwaren som evt. ble funnet. Når M A-M er ferdig med å fjerne det den har funnet, vil det bli åpnet en logg i notisblokk. Den kan du kopiere og poste. Fint om du orker å ta denne ekstra runden Lenke til kommentar
heinest Skrevet 11. juni 2008 Forfatter Del Skrevet 11. juni 2008 Når M A-M er ferdig med å fjerne det den har funnet, vil det bli åpnet en logg i notisblokk. Den kan du kopiere og poste. Fint om du orker å ta denne ekstra runden Tusen takk for at du er tålmodig og hjelper meg Jeg har nå kjørt M-A-M, som fant 3 trojans. Poster fila nå. mam_logg.txt Lenke til kommentar
norbat Skrevet 11. juni 2008 Del Skrevet 11. juni 2008 Fint, da lager du en ny combofix-logg, så tar vi evt. resten derfra. Lenke til kommentar
heinest Skrevet 11. juni 2008 Forfatter Del Skrevet 11. juni 2008 OK, har kjørt en ny Combofix (får imidlertid opp dialogbokser under kjøringen av combofix som sier at filene pv.cfexe og NirCmdc.cfexe ikke fins) combofix_log3.txt Lenke til kommentar
heinest Skrevet 11. juni 2008 Forfatter Del Skrevet 11. juni 2008 Hei igjen, ser ut som alt er fjernet nå eller finner du noe rusk i loggen? Uansett, tusen hjertelig takk for hjelpen! Lenke til kommentar
norbat Skrevet 11. juni 2008 Del Skrevet 11. juni 2008 Du slipper ikke unna så lett Åpne notisblokk og kopier inn det som står i fet skrift under, lagre fila på skrivebordet som CFScript.txt. Dra deretter fila over Combofix-iconet. Combofix vil starte igjen. Post loggen. File:: C:\WINDOWS\BM6f448e1a.xml C:\temp\sdsetup.exe Folder:: C:\WINDOWS\system32\6620 Registry:: [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{38BB23AA-0EA4-4A1B-B782-8E7745240EE9}] [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{899202FF-9593-415D-8DBE-02282A77FE36}] [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{c8871178-9d7e-4bf6-a100-1ad44c98587a}] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\geBqOhHb] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IfxWlxEN] Deretter tømmer du temporære filer etc. vha. CCleaner: Last ned CCleaner. Start programmet. Gå til 'Valg'->'Avansert'. Fjern avkryssingen framfor: "bare slett midlertidige filer......." Klikk på 'Renser' og deretter 'Kjør CCleaner'. Trenger ingen nye logger. Fortell hvordan PC-en kjører. Lenke til kommentar
heinest Skrevet 12. juni 2008 Forfatter Del Skrevet 12. juni 2008 Hei, her er loggen fra siste combofix combofix_log4.txt Lenke til kommentar
norbat Skrevet 12. juni 2008 Del Skrevet 12. juni 2008 Fint, da ser loggen grei ut. Du bør fjerne noen av antispyware-programmene du har. Ingen vits i å ha for mange av slike. Anbefaler at du beholder SAS eller Malwarebytes A-M Kjør på ny en rens med CCleaner Fjern combofix ved å skrive combofix /u i kjør-feltet (start->kjør). Dette fjerner programmet + nullstiller systemgjenopprettingen slik at du ikke blir infisert ved en evt. gjenoppretting senere. Surf trygt. Lenke til kommentar
heinest Skrevet 12. juni 2008 Forfatter Del Skrevet 12. juni 2008 Tusen takk for hjelpen! Nå ser pcn ut til å være tilbake i godt gammelt slag. Virkelig snilt av deg å hjelpe! Lenke til kommentar
norbat Skrevet 12. juni 2008 Del Skrevet 12. juni 2008 Bare hyggelig. Nå når tråden er løst, så kan du redigere 1.posten din og derfra redigere Emnetittelen din ved å skrive [Løst] framfor tittelen. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå