[LØST] hjelp! har en nasty worm som ikke vil bort!

20 innlegg i emnet

Skrevet

hei!

er det noen som kan hjelpe meg med worm.rbot variant? var litt uheldig med en fil fra limewire, ja jeg vet, veldig dumt:/ men gjør det ikke flere ganger. Med denne fila fikk jeg masse trojanere og en liten nasty orm. Tror jeg har fått fjerna trojanerne med bl.a vundofix, men ormen vil ikke bort. Virker som om den formerer seg og med en gang jeg kobler meg på internett, så vips er den tilbake sammen med en mengde adware tracking cookies. Holder på å bli gal av dette. Har ca 5 forskjellige adware/spyware programmer, alle oppdager den og sletter den, men den kommer tilbake. Den stopper også noen av adware/spyware programmene og den stopper også oppgave behandlinga slik at jeg ikke får se hvilke prosesser som går.

kan noen hjelpe meg? å er denne ormen skadelig med tanke på passord, nettbank osv

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet (endret)

hei!

er det noen som kan hjelpe meg med worm.rbot variant? var litt uheldig med en fil fra limewire, ja jeg vet, veldig dumt:/ men gjør det ikke flere ganger. Med denne fila fikk jeg masse trojanere og en liten nasty orm. Tror jeg har fått fjerna trojanerne med bl.a vundofix, men ormen vil ikke bort. Virker som om den formerer seg og med en gang jeg kobler meg på internett, så vips er den tilbake sammen med en mengde adware tracking cookies. Holder på å bli gal av dette. Har ca 5 forskjellige adware/spyware programmer, alle oppdager den og sletter den, men den kommer tilbake. Den stopper også noen av adware/spyware programmene og den stopper også oppgave behandlinga slik at jeg ikke får se hvilke prosesser som går.

kan noen hjelpe meg? å er denne ormen skadelig med tanke på passord, nettbank osv

Start datamaskinen i sikkermodus (trykk F8 hele tiden under booting), og kjør virustestene da. Kjør også testene på www.ewido.com og www.bitdefender.com.

Det burde funke, si ifra om du fikk fjerna ormen.

Endret av MSI guy
0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Heisann! Velkommen som ny bruker! :thumbup:

Du kan prøve denne guiden her: http://itpro.no/art/11659.html

Den tar det meste av det som finnes av kjente virus.. :)

Hijackthis-loggen kan du gjerne legge ut her, om du føler for det.

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

takk så lenge:) ser ut som det tar en stund før jeg er ferdi med virus syware scanninga, men poster en hijakthis logg når jeg er ferdig... krysser fingrene for at det fungerer... hvis ikke hiver jeg maskina ut av vinduet :wall: , har prøvd i 2 dager nå , er møkka lei hele maskina :666:

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Heisann! Velkommen som ny bruker! :thumbup:

Du kan prøve denne guiden her: http://itpro.no/art/11659.html

Den tar det meste av det som finnes av kjente virus.. :)

Hijackthis-loggen kan du gjerne legge ut her, om du føler for det.

glemte å spørre om noe:) skal jeg kjøre hijackthis i sikkerhetsmodus eller vanlig modus?

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Helst kjør hijackthis i sikkerhetsmodus :)

Alt som har med virusscanning burde gjøres der, da du vil få mer nøyaktige og spesifiserte resultater.

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

endelig ferdig.. måtte kjøre trend housecall 2 ganger:) håper noen kan svare meg og at ormen er død :666:

her er hijackthis loggen:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 14:24:04, on 11.10.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Safe mode with network support

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Programfiler\Windows Defender\MsMpEng.exe

C:\WINDOWS\system32\svchost.exe

C:\Programfiler\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\WINDOWS\Explorer.EXE

C:\Programfiler\Internet Explorer\iexplore.exe

C:\Programfiler\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sol.no/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sol.no/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koblinger

R3 - URLSearchHook: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programfiler\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - (no file)

O2 - BHO: (no name) - {5B966CF0-87E1-44FB-AF0D-9D465CA35E83} - (no file)

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: (no name) - {BAB2B68D-2615-42DF-8B10-3B7E0EFF9ED9} - (no file)

O3 - Toolbar: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)

O4 - HKLM\..\Run: [synTPLpr] C:\Programfiler\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Programfiler\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [siSPower] Rundll32.exe SiSPower.dll,ModeAgent

O4 - HKLM\..\Run: [siS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe

O4 - HKLM\..\Run: [PCMService] "C:\Programfiler\Arcade\PCMService.exe"

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [LManager] C:\Programfiler\Launch Manager\QtZgAcer.EXE

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [HP Software Update] "C:\Programfiler\HP\HP Software Update\HPWuSchd.exe"

O4 - HKLM\..\Run: [HP Component Manager] "C:\Programfiler\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [iTunesHelper] "C:\Programfiler\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programfiler\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [pccguide.exe] "C:\Programfiler\Trend Micro\Internet Security 2005\pccguide.exe"

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programfiler\espen\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [Windows Defender] "C:\Programfiler\Windows Defender\MSASCui.exe" -hide

O4 - HKCU\..\Run: [msnmsgr] ~"C:\Programfiler\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [sUPERAntiSpyware] C:\Programfiler\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKAL TJENESTE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETTVERKSTJENESTE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Microsoft Office.lnk = C:\Programfiler\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programfiler\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programfiler\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe

O15 - Trusted Zone: http://clients.playout.se

O15 - Trusted Zone: http://psswe.playout.se

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab

O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Solit...wn.cab56986.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1139398949125

O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.kontoret.no/ImageUploader4.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://activex.webcam.nl/AxisCamControl.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Solit...wn.cab31267.cab

O20 - Winlogon Notify: !SASWinLogon - C:\Programfiler\SUPERAntiSpyware\SASWINLO.DLL

O20 - Winlogon Notify: hggggfg - hggggfg.dll (file missing)

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programfiler\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe

O23 - Service: Boonty Games - BOONTY - C:\Programfiler\Fellesfiler\BOONTY Shared\Service\Boonty.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programfiler\Fellesfiler\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Programfiler\iPod\bin\iPodService.exe

O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\SNDSrvc.exe

O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe

O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe

O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe

--

End of file - 7996 bytes

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

O23 - Service: Boonty Games - BOONTY - C:\Programfiler\Fellesfiler\BOONTY Shared\Service\Boonty.exe

O3 - Toolbar: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)

O2 - BHO: (no name) - {BAB2B68D-2615-42DF-8B10-3B7E0EFF9ED9} - (no file)

O2 - BHO: (no name) - {5B966CF0-87E1-44FB-AF0D-9D465CA35E83} - (no file)

O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - (no file)

Dette er filene jeg fant som du burde fikse.

Det gjør du slik:

Åpne hijackthis og kjør scannen, når du er ferdig vil du kunne sette et lite kryss ved hver av filene som har blitt scannet.

Du skal da lete etter filene jeg har postet over og markere alle disse.

Etterpå klikker du "fix checked" eller hva som står :)

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Takk takk:) da har jeg fixa de du sa jeg skulle fixe me hijackthis.. måtte starte maskina på nytt å gjorde det i sikkerhetsmodus. skal jeg poste en ny hijackthis logg el?

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Andre tips for å fjerne malware.

Viktig: Jeg linker til løsninger som kan lastes ned - men unngå å laste ned mer hvis du kan unngå det. Du kan eventuelt laste ned denne tråden ?

Slettet malware som gjeninstalleres kan skje på flere måter, jeg nevner 2:

1. Installering utenfra:

- En tilsynelatende lovlig prosess henter inn nytt hver gang du sletter / fjerner malware.

- En server sender ny malware gjennom en sikkerhetsglipp (Firewall: Permit this)

2. Installering innenfra:

- En godt skjult re-installer sjekker om du har fjernet noe, installerer eventuelt på nytt. Det som installeres er da et program som henter ned mer utenfra.

Løsninger:

1. Du har en sikkerhetsrisiko på maskinen( åpen port, jukseprogram som ikke oppdages). Du må identifisere årsaken nærmere.

2. Du må kanskje fjerne noe manuelt.

Ulike metoder for å identifisere RE-INSTALLER:

1. Antivirus logg:

Norton Antivirus / Norton Internet Security har en logg over aktivitet. Hvis du blokkerer trafikk mot nettet vil du få en liste over programmer som har førsøkt å opprette forbindelse og mislykket. Flere av disse er lovlige, men du vil se et mønster for mest sannsynlige årsak. Noter mulige årsaker, men skaff deg mer oversikt før du sletter vilt.

Andre Firewall-programmer har trolig lignende logg.

2. XP logg:

Windows XP Pro har en hendelses-logg som kan avsløre mye (Kontrollpanel --> ytelse og vedlikehold --> administrative verktøy --> Hendelseslogg)

Problemet med slike logger er at de er uoversiktlige og inneholder for mye info - jeg pleier å se etter mønstre / tidspunkt / dato / portnummer og lignende, men det krever noe erfaring og mye arbeid. Det er fordel å gjøre loggen mer oversiktlig gjennom å sperre for trafikk mot mettet.

3. HijackThis:

HijackThis burde være istand til å identifisere årsak. Programmet søker etter METODER som brukes - ikke etter skadelige programmer. Dette kan være effektivt på fake-programmer. Disse inneholder ikke noe skadelig kode, men bruker metoder som kan avsløres.

Blokker trafikk mens du scanner:

Dette hindrer effektiv reinstallering utenfra. Du får dessuten en mye enklere logg over aktivitet = lettere å avsløre program som forsøker å opprette forbindelse.

Jeg mener det er langt viktigere å blokkere trafikk enn å bruke sikker modus. Sikker modus fungerer dårlig for mange programmer jeg bruker til å scanne. Jeg bruker sikker modus bare hvis problemene er veldig kompliserte, eller programmet selv ber om dette. Jeg unngår å "påtvinge" løsninger hvis jeg ikke blir bedt om det.

Du kan blokkere trafikk via Internet Security eller ved å deaktivere nettverksforbindelse midlertidig. Tiden du er inne på Internett gjør problemet mer uoversiktlig.

Advarsel:

Du har 5 antivirus- / antispyware-programmer ? Dette kan være en sikkerhets-risiko, spesielt hvis ett av disse er falsk. Unngå å laste ned alt mulig av slike programmer, hold deg til noen få løsninger som funker.

Unngå også online-scans / housecalls - disse krever installasjoner som gjør situasjonen mer uoversiktlig. Disse KAN være en løsning i noen få saker, men maskinen er åpen for angrep i lang tid.

Du får her en liste over falske antispyware + mye annen info. Det kan trolig være fordel å laste ned siden, slik at du slipper å være på nett mens du ser på løsninger.

http://spywarewarrior.com/rogue_anti-spyware.htm#top

RegCleaner, Registry Mechanic, osv. gratisversjoner:

Jeg anbefaler ingen av disse gratis-programmene. De forteller meg at jeg har problemer, men gratisversjonene fikser svært lite. Du trenger ett slikt program for å fjerne henvisninger i registeret som er nødvendige for en reinstallasjon.

Jeg har prøvd 3 andre gratisprogram, men tør ikke anbefale noen. Det beste av dette fikset masse problemer, men er foreløpig mistenkt for å bidra til andre.

Beste forslag her er Registry Mechanic fra PC-tools. Det fikser lite, men du får en viss oversikt.

Link: http://www.pctools.com/registry-mechanic/download/

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

oki... takk for informasjonen:) hadde heldigvis ingen av de falske spyware programmene... er litt grønn når det kommer til sånne ting, men har nå gjort det de andre foreslo. grunnen til alle spwareprogrammene er den h.... ormen, bruker superantispyware og trend micro pccillin til vanlig.

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Superantispyware og trend micro er veldig bra, har selv prøvd de ut og vil si meg meget fornøyd :)

Er ormen din borte nå da?

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Superantispyware og trend micro er veldig bra, har selv prøvd de ut og vil si meg meget fornøyd :)

Er ormen din borte nå da?

de har funka bra så langt i allefall:) kjørte superantispyware i sikkerhetsmodus, fant da bare adware tracking cookies:) så så langt veldig positivt... holder på å kjøre i vanlig modus nå, så krysser fingrene på at den er borte:) poster nytt innlegg når den er ferdig med scanninga:)

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

jippi!!!!!!!!!!! folkens!!!!!!!!!!!!!!!!ormen er borte :):):)

tusen takk til dere alle :)

kommer den tilbake vet jeg ikke hva jeg gjør, men krysser fingrene for at den er borte for alltid....

tusen tusen takk :)

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Det var fint :)

Husk nå å sette tråden som løst og eventuelt gi propoeng til de du mener fortjener det.

Så skal vi hjelpe deg med å krysse fingrene ;)

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Ja, se der.. :P

Anbefaler deg å ha et (og kun ett) virusprogram installert, samt en spyware-sjekker. Disse kjører du i ny og ne... Er en del gode forslag til slike programmer i guiden til Gamezor som jeg linket til i starten av tråden. :thumbup:

Samt at du er litt obs på hva du er inne på når det gjelder internett, og ikke last ned filer du ikke vet hva er.

Følger du disse enkle punktene, vil du slippe å plages med dette i fremtiden.. Ikke 100% garantert, men ikke langt unna. :)

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Selv om de synlige delen av infeksjonen er fjernet, så kan det være lurt å ta en ekstra sjekk, samt rydde litt i systemgjenopprettingsmappa slik at du ikke blir infisert ved en evt. gjenoppretting.

Du kan gjøre følgende:

Hent Combofix, og legg det på skrivebordet

Kjør combofix.exe, og følg veiledningen.

Du må ikke klikke på vinduet mens programmet kjører.

Post loggfilen fra combofix (vanligvis c:\combofix.txt. Den vil også komme til syne når combofix er ferdigkjørt). Post også en ny HJT-logg (fra normal tilstand)

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Selv om de synlige delen av infeksjonen er fjernet, så kan det være lurt å ta en ekstra sjekk, samt rydde litt i systemgjenopprettingsmappa slik at du ikke blir infisert ved en evt. gjenoppretting.

Du kan gjøre følgende:

Hent Combofix, og legg det på skrivebordet

Kjør combofix.exe, og følg veiledningen.

Du må ikke klikke på vinduet mens programmet kjører.

Post loggfilen fra combofix (vanligvis c:\combofix.txt. Den vil også komme til syne når combofix er ferdigkjørt). Post også en ny HJT-logg (fra normal tilstand)

Hei!

så ikke at du hadde postet et innlegg før i dag.. har gjort som du sa og håper du gidder å se på det:)

combofix logg:

ComboFix 07-10-12.4 - Gunn Kristin Volden 2007-10-14 17:41:08.1 - FAT32x86

Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1044.18.108 [GMT 2:00]

Running from: C:\Documents and Settings\Gunn Kristin Volden\Skrivebord\ComboFix.exe

* Created a new restore point

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\Temp\1cb

C:\Temp\1cb\syscheck.log

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\LEGACY_DOMAINSERVICE

((((((((((((((((((((((((( Files Created from 2007-09-14 to 2007-10-14 )))))))))))))))))))))))))))))))

.

2007-10-14 17:39 51,200 --a------ C:\WINDOWS\NirCmd.exe

2007-10-11 12:38 <DIR> d-------- C:\WINDOWS\BDOSCAN8

2007-10-10 23:33 32,768 --a------ C:\WINDOWS\system32\winlogo.exe

2007-10-10 23:10 0 --a------ C:\WINDOWS\system32\taskkill.exe

2007-10-10 21:41 12 --a------ C:\WINDOWS\bthservsdp.dat

2007-10-10 12:58 <DIR> d-------- C:\Documents and Settings\Gunn Kristin Volden\.housecall6.6

2007-10-10 12:47 6,505 ---hs---- C:\WINDOWS\system32\opqss.bak1

2007-10-10 11:10 6,465 ---hs---- C:\WINDOWS\system32\rqtwa.bak1

2007-10-09 23:36 <DIR> d-------- C:\Temp\xOe

2007-10-09 23:22 6,465 ---hs---- C:\WINDOWS\system32\fhkmp.bak1

2007-10-09 23:12 24,576 --a------ C:\WINDOWS\system32\VundoFixSVC.exe

2007-10-09 22:38 <DIR> d--h----- C:\WINDOWS\PIF

2007-10-09 21:49 <DIR> d-------- C:\Documents and Settings\Administrator\Programdata\SUPERAntiSpyware.com

2007-10-09 21:10 584,192 --------- C:\WINDOWS\system32\dllcache\rpcrt4.dll

2007-10-09 20:11 6,683 ---hs---- C:\WINDOWS\system32\ijllm.ini2

2007-10-09 17:04 218,438 ---hs---- C:\WINDOWS\system32\ijllm.bak2

2007-10-09 16:44 6,505 ---hs---- C:\WINDOWS\system32\ijllm.bak1

2007-10-09 16:38 <DIR> d--hs---- C:\FOUND.008

2007-10-09 16:03 7,156 ---hs---- C:\WINDOWS\system32\yccdd.ini2

2007-10-09 15:09 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll

2007-10-09 14:37 6,465 ---hs---- C:\WINDOWS\system32\yccdd.bak1

2007-10-09 14:09 <DIR> d-------- C:\VundoFix Backups

2007-10-09 14:08 222,571 ---hs---- C:\WINDOWS\system32\xybeg.ini2

2007-10-09 12:00 218,398 ---hs---- C:\WINDOWS\system32\xybeg.bak1

2007-10-09 11:12 6,938 ---hs---- C:\WINDOWS\system32\dccdd.ini2

2007-10-09 11:00 <DIR> d-------- C:\Documents and Settings\Gunn Kristin Volden\Programdata\Azureus

2007-10-09 11:00 <DIR> d-------- C:\Documents and Settings\All Users\Programdata\Azureus

2007-10-09 10:50 6,505 ---hs---- C:\WINDOWS\system32\dccdd.bak1

2007-10-09 09:45 6,671 ---hs---- C:\WINDOWS\system32\ihhkj.ini2

2007-10-09 09:11 6,505 ---hs---- C:\WINDOWS\system32\ihhkj.bak1

2007-10-08 21:53 <DIR> d--hs---- C:\WINDOWS\R3VubiBLcmlzdGluIFZvbGRlbg

2007-10-08 21:53 <DIR> d-------- C:\Documents and Settings\LocalService\Programdata\NetMon

2007-10-08 21:52 <DIR> d-------- C:\Temp

2007-09-27 13:40 <DIR> d--hs---- C:\FOUND.007

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2007-10-11 09:44 25,214 ----a-w C:\Programfiler\B.ico

2007-10-11 09:44 25,214 ----a-w C:\Programfiler\A.ico

2007-09-06 16:44 --------- d-----w C:\Programfiler\CCleaner

2007-08-22 13:18 96,768 ------w C:\WINDOWS\system32\dllcache\inseng.dll

2007-08-22 13:18 658,432 ------w C:\WINDOWS\system32\dllcache\wininet.dll

2007-08-22 13:18 615,424 ------w C:\WINDOWS\system32\dllcache\urlmon.dll

2007-08-22 13:18 55,808 ------w C:\WINDOWS\system32\dllcache\extmgr.dll

2007-08-22 13:18 532,480 ------w C:\WINDOWS\system32\dllcache\mstime.dll

2007-08-22 13:18 474,112 ------w C:\WINDOWS\system32\dllcache\shlwapi.dll

2007-08-22 13:18 449,024 ------w C:\WINDOWS\system32\dllcache\mshtmled.dll

2007-08-22 13:18 39,424 ------w C:\WINDOWS\system32\dllcache\pngfilt.dll

2007-08-22 13:18 357,888 ------w C:\WINDOWS\system32\dllcache\dxtmsft.dll

2007-08-22 13:18 3,079,168 ------w C:\WINDOWS\system32\dllcache\mshtml.dll

2007-08-22 13:18 251,392 ------w C:\WINDOWS\system32\dllcache\iepeers.dll

2007-08-22 13:18 205,312 ------w C:\WINDOWS\system32\dllcache\dxtrans.dll

2007-08-22 13:18 16,384 ------w C:\WINDOWS\system32\dllcache\jsproxy.dll

2007-08-22 13:18 151,552 ------w C:\WINDOWS\system32\dllcache\cdfview.dll

2007-08-22 13:18 146,432 ------w C:\WINDOWS\system32\dllcache\msrating.dll

2007-08-22 13:18 1,494,528 ------w C:\WINDOWS\system32\dllcache\shdocvw.dll

2007-08-22 13:18 1,054,720 ------w C:\WINDOWS\system32\dllcache\danim.dll

2007-08-22 13:18 1,022,976 ------w C:\WINDOWS\system32\dllcache\browseui.dll

2007-08-21 10:30 18,432 ------w C:\WINDOWS\system32\dllcache\iedw.exe

2007-08-21 06:18 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll

2007-08-21 06:18 683,520 ------w C:\WINDOWS\system32\dllcache\inetcomm.dll

2007-07-30 17:19 92,504 ----a-w C:\WINDOWS\system32\dllcache\cdm.dll

2007-07-30 17:19 92,504 ----a-w C:\WINDOWS\system32\cdm.dll

2007-07-30 17:19 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll

2007-07-30 17:19 549,720 ----a-w C:\WINDOWS\system32\dllcache\wuapi.dll

2007-07-30 17:19 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe

2007-07-30 17:19 53,080 ----a-w C:\WINDOWS\system32\dllcache\wuauclt.exe

2007-07-30 17:19 43,352 ----a-w C:\WINDOWS\system32\wups2.dll

2007-07-30 17:19 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll

2007-07-30 17:19 325,976 ----a-w C:\WINDOWS\system32\dllcache\wucltui.dll

2007-07-30 17:19 271,224 ----a-w C:\WINDOWS\system32\mucltui.dll

2007-07-30 17:19 207,736 ----a-w C:\WINDOWS\system32\muweb.dll

2007-07-30 17:19 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll

2007-07-30 17:19 203,096 ----a-w C:\WINDOWS\system32\dllcache\wuweb.dll

2007-07-30 17:19 1,712,984 ----a-w C:\WINDOWS\system32\wuaueng.dll

2007-07-30 17:19 1,712,984 ----a-w C:\WINDOWS\system32\dllcache\wuaueng.dll

2007-07-30 17:18 33,624 ----a-w C:\WINDOWS\system32\wups.dll

2007-07-30 17:18 33,624 ----a-w C:\WINDOWS\system32\dllcache\wups.dll

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SynTPLpr"="C:\Programfiler\Synaptics\SynTP\SynTPLpr.exe" [2004-10-07 23:44]

"SynTPEnh"="C:\Programfiler\Synaptics\SynTP\SynTPEnh.exe" [2004-10-07 23:43]

"SoundMan"="SOUNDMAN.EXE" [2005-02-23 18:13 C:\WINDOWS\SOUNDMAN.EXE]

"AGRSMMSG"="AGRSMMSG.exe" [2004-10-07 19:50 C:\WINDOWS\AGRSMMSG.exe]

"SiSPower"="SiSPower.dll" [2005-02-25 19:35 C:\WINDOWS\system32\SiSPower.dll]

"SiS Windows KeyHook"="C:\WINDOWS\system32\keyhook.exe" [2005-03-04 13:13]

"PCMService"="C:\Programfiler\Arcade\PCMService.exe" [2005-03-09 18:59]

"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-04 20:00]

"MSPY2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 20:00]

"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-04 20:00]

"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-04 20:00]

"LManager"="C:\Programfiler\Launch Manager\QtZgAcer.EXE" [2005-03-28 12:30]

"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 20:00 C:\WINDOWS\system32\bthprops.cpl]

"HP Software Update"="C:\Programfiler\HP\HP Software Update\HPWuSchd.exe" [2003-08-04 17:28]

"HP Component Manager"="C:\Programfiler\HP\hpcoretech\hpcmpmgr.exe" [2003-12-22 08:38]

"iTunesHelper"="C:\Programfiler\iTunes\iTunesHelper.exe" [2005-10-18 11:58]

"QuickTime Task"="C:\Programfiler\QuickTime\qttask.exe" [2005-10-29 11:38]

"pccguide.exe"="C:\Programfiler\Trend Micro\Internet Security 2005\pccguide.exe" [2004-11-30 18:06]

"DAEMON Tools-1033"="C:\Programfiler\espen\D-Tools\daemon.exe" [2004-08-22 17:05]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"msnmsgr"="~C:\Programfiler\MSN Messenger\msnmsgr.exe" []

"SUPERAntiSpyware"="C:\Programfiler\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2007-09-03 12:44]

C:\Documents and Settings\All Users\Start-meny\Programmer\Oppstart\

Microsoft Office.lnk - C:\Programfiler\Microsoft Office\Office\OSA9.EXE [1999-02-17 20:05:56]

HP Digital Imaging Monitor.lnk - C:\Programfiler\HP\Digital Imaging\bin\hpqtra08.exe [2003-09-16 05:19:24]

Adobe Reader Speed Launch.lnk - C:\Programfiler\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 04:44:06]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Programfiler\SUPERAntiSpyware\SASSEH.DLL [2007-05-26 19:05 77824]

"{4E78714D-2D26-4965-AECE-501024825423}"= C:\WINDOWS\system32\hggggfg.dll [ ]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]

C:\Programfiler\SUPERAntiSpyware\SASWINLO.DLL 2007-05-26 19:05 294912 C:\Programfiler\SUPERAntiSpyware\SASWINLO.DLL

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\hggggfg]

hggggfg.dll

R1 UBHelper;UBHelper;C:\WINDOWS\system32\drivers\UBHelper.sys

R3 DKbFltr;Dritek HotKey Keyboard Filter Driver;C:\WINDOWS\system32\Drivers\DKbFltr.sys

R3 SISNICXP;SiS PCI Fast Ethernet Adapter Driver for NDIS51;C:\WINDOWS\system32\DRIVERS\sisnicxp.sys

S3 int15.sys;int15.sys;\??\C:\Programfiler\acer\eRecovery\int15.sys

S3 netrcacm;RCA USB Digital Cable Modem Driver;C:\WINDOWS\system32\DRIVERS\netrcacm.sys

S4 Boonty Games;Boonty Games;"C:\Programfiler\Fellesfiler\BOONTY Shared\Service\Boonty.exe"

.

**************************************************************************

catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-10-14 17:45:36

Windows 5.1.2600 Service Pack 2 FAT NTAPI

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully

hidden files: 0

**************************************************************************

.

Completion time: 2007-10-14 17:47:42 - machine was rebooted

.

--- E O F ---

hijackthis logg:

Scan saved at 17:53:07, on 14.10.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Acer\eManager\anbmServ.exe

C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe

C:\Programfiler\Fellesfiler\Symantec Shared\SNDSrvc.exe

C:\WINDOWS\system32\svchost.exe

C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe

C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe

C:\PROGRA~1\TRENDM~1\INTERN~1\PccGuide.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Programfiler\Synaptics\SynTP\SynTPLpr.exe

C:\Programfiler\Synaptics\SynTP\SynTPEnh.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\AGRSMMSG.exe

C:\WINDOWS\system32\Rundll32.exe

C:\WINDOWS\system32\keyhook.exe

C:\Programfiler\Arcade\PCMService.exe

C:\Programfiler\Launch Manager\QtZgAcer.EXE

C:\WINDOWS\system32\rundll32.exe

C:\Programfiler\HP\HP Software Update\HPWuSchd.exe

C:\Programfiler\HP\hpcoretech\hpcmpmgr.exe

C:\Programfiler\iTunes\iTunesHelper.exe

C:\Programfiler\QuickTime\qttask.exe

C:\Programfiler\espen\D-Tools\daemon.exe

C:\Programfiler\iPod\bin\iPodService.exe

C:\WINDOWS\System32\svchost.exe

C:\Programfiler\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\Programfiler\HP\Digital Imaging\bin\hpqtra08.exe

C:\WINDOWS\system32\notepad.exe

C:\Programfiler\internet explorer\iexplore.exe

C:\Documents and Settings\Gunn Kristin Volden\Skrivebord\Ny mappe\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sol.no/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sol.no/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koblinger

R3 - URLSearchHook: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programfiler\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [synTPLpr] C:\Programfiler\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Programfiler\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [siSPower] Rundll32.exe SiSPower.dll,ModeAgent

O4 - HKLM\..\Run: [siS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe

O4 - HKLM\..\Run: [PCMService] "C:\Programfiler\Arcade\PCMService.exe"

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [LManager] C:\Programfiler\Launch Manager\QtZgAcer.EXE

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [HP Software Update] "C:\Programfiler\HP\HP Software Update\HPWuSchd.exe"

O4 - HKLM\..\Run: [HP Component Manager] "C:\Programfiler\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [iTunesHelper] "C:\Programfiler\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programfiler\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [pccguide.exe] "C:\Programfiler\Trend Micro\Internet Security 2005\pccguide.exe"

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programfiler\espen\D-Tools\daemon.exe" -lang 1033

O4 - HKCU\..\Run: [msnmsgr] ~"C:\Programfiler\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [sUPERAntiSpyware] C:\Programfiler\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKAL TJENESTE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETTVERKSTJENESTE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Microsoft Office.lnk = C:\Programfiler\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programfiler\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programfiler\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe

O15 - Trusted Zone: http://clients.playout.se

O15 - Trusted Zone: http://psswe.playout.se

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab

O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Solit...wn.cab56986.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1139398949125

O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.kontoret.no/ImageUploader4.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://activex.webcam.nl/AxisCamControl.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Solit...wn.cab31267.cab

O20 - Winlogon Notify: !SASWinLogon - C:\Programfiler\SUPERAntiSpyware\SASWINLO.DLL

O20 - Winlogon Notify: hggggfg - hggggfg.dll (file missing)

O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programfiler\Fellesfiler\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Programfiler\iPod\bin\iPodService.exe

O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\SNDSrvc.exe

O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe

O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe

O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe

--

End of file - 8449 bytes

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

For det meste opprydding:

KLikk: Start->Kjør

Skriv: services.msc

Finn og stopp følgende tjeneste. Høyreklikk på tjenesten og velg egenskaper.

Under oppstartstype velger du Deaktivert:

Symantec Network Drivers Service (SNDSrvc)

Fix følgende linjer med HJT:

R3 - URLSearchHook: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O20 - Winlogon Notify: hggggfg - hggggfg.dll (file missing)

Last ned Avenger og pakk det ut.

Start programmet, sett prikk i "Input Script Manually" og klikk på lupen.

I vinduet som kommer opp kopierer du og limer inn det som er i fet skrift under:

Files to delete:

C:\WINDOWS\NirCmd.exe

C:\WINDOWS\system32\opqss.bak1

C:\WINDOWS\system32\rqtwa.bak1

C:\WINDOWS\system32\fhkmp.bak1

C:\WINDOWS\system32\VundoFixSVC.exe

C:\WINDOWS\system32\ijllm.ini2

C:\WINDOWS\system32\ijllm.bak2

C:\WINDOWS\system32\ijllm.bak1

C:\WINDOWS\system32\yccdd.ini2

C:\WINDOWS\system32\yccdd.bak1

C:\WINDOWS\system32\xybeg.ini2

C:\WINDOWS\system32\xybeg.bak1

C:\WINDOWS\system32\dccdd.ini2

C:\WINDOWS\system32\dccdd.bak1

C:\WINDOWS\system32\ihhkj.ini2

C:\WINDOWS\system32\ihhkj.bak1

C:\FOUND.007

C:\FOUND.008

Folders to delete:

C:\VundoFix Backups

Registry values to delete:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks|"{4E78714D-2D26-4965-AECE-501024825423}"

Klikk på Trafikklyset. Restart pc'n.

Etter restart vil det komme en loggfil som forteller hva som har skjedd.

Slett gjerne combofix.exe (som ligger på skrivebordet).

Litt ekstra rydding:

Opprett et nytt systemgjenopprettingspunkt:

Tilbehør->systemverktøy->systemgjenoppretting . Velg å opprette

et nytt. Navgi det og klikk opprett.

Slett gamle systemgjenopprettingspunkt unntatt det siste:

Tilbehør->systemverktøy->diskopprydding

Velg stasjon c:. Etter en sjekk åpnes et vindu der du velger 'Flere alternativer'.

Der klikker du på 'Rydd opp...' i Systemgjenopprettings-feltet.

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

For det meste opprydding:

KLikk: Start->Kjør

Skriv: services.msc

Finn og stopp følgende tjeneste. Høyreklikk på tjenesten og velg egenskaper.

Under oppstartstype velger du Deaktivert:

Symantec Network Drivers Service (SNDSrvc)

Fix følgende linjer med HJT:

R3 - URLSearchHook: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O20 - Winlogon Notify: hggggfg - hggggfg.dll (file missing)

Last ned Avenger og pakk det ut.

Start programmet, sett prikk i "Input Script Manually" og klikk på lupen.

I vinduet som kommer opp kopierer du og limer inn det som er i fet skrift under:

Files to delete:

C:\WINDOWS\NirCmd.exe

C:\WINDOWS\system32\opqss.bak1

C:\WINDOWS\system32\rqtwa.bak1

C:\WINDOWS\system32\fhkmp.bak1

C:\WINDOWS\system32\VundoFixSVC.exe

C:\WINDOWS\system32\ijllm.ini2

C:\WINDOWS\system32\ijllm.bak2

C:\WINDOWS\system32\ijllm.bak1

C:\WINDOWS\system32\yccdd.ini2

C:\WINDOWS\system32\yccdd.bak1

C:\WINDOWS\system32\xybeg.ini2

C:\WINDOWS\system32\xybeg.bak1

C:\WINDOWS\system32\dccdd.ini2

C:\WINDOWS\system32\dccdd.bak1

C:\WINDOWS\system32\ihhkj.ini2

C:\WINDOWS\system32\ihhkj.bak1

C:\FOUND.007

C:\FOUND.008

Folders to delete:

C:\VundoFix Backups

Registry values to delete:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks|"{4E78714D-2D26-4965-AECE-501024825423}"

Klikk på Trafikklyset. Restart pc'n.

Etter restart vil det komme en loggfil som forteller hva som har skjedd.

Slett gjerne combofix.exe (som ligger på skrivebordet).

Litt ekstra rydding:

Opprett et nytt systemgjenopprettingspunkt:

Tilbehør->systemverktøy->systemgjenoppretting . Velg å opprette

et nytt. Navgi det og klikk opprett.

Slett gamle systemgjenopprettingspunkt unntatt det siste:

Tilbehør->systemverktøy->diskopprydding

Velg stasjon c:. Etter en sjekk åpnes et vindu der du velger 'Flere alternativer'.

Der klikker du på 'Rydd opp...' i Systemgjenopprettings-feltet.

Takk for hjelpa:)

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!


Start en konto

Logg inn

Har du allerede en konto? Logg inn her.


Logg inn nå

  • Hvem er aktive   0 medlemmer

    Ingen innloggede medlemmer aktive