Alvorlige Adware Problem

**Psychaospath** · #1 21 januar 2008, 20:16

Jeg har et alvorligt problem. Ive fik en eller anden form for adware på min computer. Når Im surfing, eller bare have min browser åbne en popup vil poppe op hver 2-3 minutter. Ive forsøgt at bruge AVG Anti-Virus, AVG anti-spyware, CounterSpy og Bazooka Scanner.

De har alle fundet tonsvis af ting, jeg sluppet af dem alle, jeg scannet igen, alt væk. Bortset fra ganske få TrackingCookies, men det bør ikke bidrage til adware problem. Disse er suppost at være de bedste programmer.

Nogen forslag til, hvad jeg skal bruge eller hvad jeg skal gøre?

**evilfantasy** · #2 21 januar 2008, 20:34

Lad os tage et nærmere kig.

Download og omdøbe HijackThis (HJT)

Dobbeltklik på HJTInstall.
Klik på Installer knappen.
Det vil automatisk placere HJT i C: \ Programmer \ TrendMicro \ HijackThis \ HijackThis.exe.
Efter installere, HijackThis bør åbne for dig.
- Luk HijackThis og omdøb den.
- Gå til C: \ Programmer \ Trend Micro \HijackThis.exe
- Højreklik på HijackThis.exe og vælge Omdøb.
- Skriv sniper.exe og tryk Indtast.
- Højreklik på på sniper.exe og vælge Send til > Desktop (Opret genvej)
Fra skrivebordet åbne HiajckThis.
Hvis du bruger Windows Vista, skal du sørge for at Kør som administrator
Klik på Må en systemscanning og gemme en logfil knappen
HijackThis scanner og derefter en log åbnes i Notesblok.
Kopier og indsæt derefter logge på dit indlæg.
- Må ikke har Hijackthis fastsætte noget endnu. Det meste af, hvad det finder vil være harmløse eller endda kræves.

Selv om vi har omdøbt HijackThis til snigskytte, vil vi stadig referere til det som HijackThis eller HJT.

**Psychaospath** · #3 21 januar 2008, 20:50

Logfile af Trend Micro HijackThis v2.0.2
Scan gemt kl 10:50:07 PM, den 1/21/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal
Kørende processer:
C: \ WINDOWS \ System32 \ smss.exe
C: \ WINDOWS \ system32 \ Winlogon.exe
C: \ WINDOWS \ system32 \ Services.exe
C: \ WINDOWS \ system32 \ Lsass.exe
C: \ WINDOWS \ system32 \ Ati2evxx.exe
C: \ WINDOWS \ system32 \ Svchost.exe
C: \ WINDOWS \ System32 \ Svchost.exe
C: \ WINDOWS \ system32 \ Svchost.exe
C: \ Programmer \ Lavasoft \ Ad-Aware 2007 \ aawservice.exe
C: \ WINDOWS \ system32 \ Ati2evxx.exe
C: \ WINDOWS \ Explorer.EXE
C: \ WINDOWS \ system32 \ Spoolsv.exe
C: \ WINDOWS \ SOUNDMAN.EXE
C: \ Programmer \ ATI Technologies \ ATI.ACE \ cli.exe
C: \ Programmer \ Java \ jre1.6.0_03 \ bin \ jusched.exe
C: \ Programmer \ iTunes \ iTunesHelper.exe
C: \ Programmer \ SlySoft \ CloneCD \ CloneCDTray.exe
C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgcc.exe
C: \ Programmer \ Grisoft \ AVG Anti-Spyware 7.5 \ avgas.exe
C: \ WINDOWS \ system32 \ Ctfmon.exe
C: \ Programmer \ Daemon Tools \ daemon.exe
C: \ Programmer \ SUPERAntiSpyware \ SUPERAntiSpyware.exe
C: \ Programmer \ TRENDnet \ TRENDnet TEW-421PC_TEW-423PI \ WlanCU.exe
C: \ Programmer \ Common Files \ Apple \ Mobile Device Support \ bin \ AppleMobileDeviceService.exe
C: \ Programmer \ Grisoft \ AVG Anti-Spyware 7.5 \ guard.exe
C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgamsvr.exe
C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgupsvc.exe
C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgemc.exe
C: \ Programmer \ iPod \ bin \ iPodService.exe
C: \ Programmer \ ATI Technologies \ ATI.ACE \ cli.exe
C: \ Programmer \ ATI Technologies \ ATI.ACE \ cli.exe
C: \ Programmer \ Internet Explorer \ iexplore.exe
C: \ Programmer \ Trend Micro \ HijackThis \ sniper.exe
R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://www.yahoo.com/
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Page_URL = http://www.yahoo.com/
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Search_URL = http://us.rd.yahoo.com/customize/ie/.../www.yahoo.com
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Search Bar = http://us.rd.yahoo.com/customize/ie/...ch/search.html
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Search Page = http://us.rd.yahoo.com/customize/ie/.../www.yahoo.com
R0 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://www.yahoo.com/
R0 - HKLM \ Software \ Microsoft \ Internet Explorer \ Search, CustomizeSearch =
R3 - URLSearchHook: Yahoo! Toolbar - (EF99BD32-C1FB-11D2-892F-0090271D4F88) - C: \ PROGRA ~ 1 \ Yahoo! \ Companion \ Installerer \ CPN \ yt.dll
O2 - BHO: & Yahoo! Toolbar Helper - (02478D38-C3F9-4efb-9B51-7695ECA05670) - C: \ PROGRA ~ 1 \ Yahoo! \ Companion \ Installerer \ CPN \ yt.dll
O2 - BHO: Yahoo! IE Services Button - (5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897) - C: \ Programmer \ Yahoo! \ Common \ yiesrvc.dll
O2 - BHO: SSVHelper Class - (761497BB-D6F0-462C-B6EB-D4DAF1D92D43) - C: \ Programmer \ Java \ jre1.6.0_03 \ bin \ ssv.dll (filen mangler)
O3 - Toolbar: Yahoo! Toolbar - (EF99BD32-C1FB-11D2-892F-0090271D4F88) - C: \ PROGRA ~ 1 \ Yahoo! \ Companion \ Installerer \ CPN \ yt.dll
O4 - HKLM \ .. \ Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM \ .. \ Run: [ATICCC] "C: \ Programmer \ ATI Technologies \ ATI.ACE \ cli.exe" runtime-Delay
O4 - HKLM \ .. \ Run: [SunJavaUpdateSched] "C: \ Programmer \ Java \ jre1.6.0_03 \ bin \ jusched.exe"
O4 - HKLM \ .. \ Run: [iTunesHelper] "C: \ Programmer \ iTunes \ iTunesHelper.exe"
O4 - HKLM \ .. \ Run: [CloneCDTray] "C: \ Programmer \ SlySoft \ CloneCD \ CloneCDTray.exe" / s
O4 - HKLM \ .. \ Run: [AVG7_CC] C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgcc.exe / START
O4 - HKLM \ .. \ Run: [! AVG Anti-Spyware] "C: \ Programmer \ Grisoft \ AVG Anti-Spyware 7.5 \ avgas.exe" / minimeret
O4 - HKLM \ .. \ Run: [LXCFCATS] rundll32 C: \ WINDOWS \ System32 \ spool \ DRIVERS \ W32X86 \ 3 \ LXCFtim e.dll, _RunDLLEntry @ 16
O4 - HKCU \ .. \ Run: [Ctfmon.exe] C: \ WINDOWS \ system32 \ Ctfmon.exe
O4 - HKCU \ .. \ Run: [Daemon Tools] "C: \ Programmer \ Daemon Tools \ daemon.exe"-lang 1033
O4 - HKCU \ .. \ Run: [Yahoo! Pager] "C: \ Programmer \ Yahoo! \ Messenger \ YahooMessenger.exe"-quiet
O4 - HKCU \ .. \ Run: [SUPERAntiSpyware] C: \ Programmer \ SUPERAntiSpyware \ SUPERAntiSpyware.exe
O4 - HKUS \ S-1-5-19 \ .. \ Run: [AVG7_Run] C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgw.exe / RunOnce (User 'LOCAL SERVICE')
O4 - HKUS \ S-1-5-20 \ .. \ Run: [AVG7_Run] C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgw.exe / RunOnce (User 'NETWORK SERVICE')
O4 - HKUS \ S-1-5-18 \ .. \ Run: [AVG7_Run] C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgw.exe / RunOnce (User 'SYSTEM')
O4 - HKUS \. DEFAULT \ .. \ Run: [AVG7_Run] C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgw.exe / RunOnce (User 'Default user')
O4 - Global Startup: Wireless Configuration Utility HW.15.lnk = C: \ Programmer \ TRENDnet \ TRENDnet TEW-421PC_TEW-423PI \ WlanCU.exe
O9 - Ekstra knap: Yahoo! Services - (5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897) - C: \ Programmer \ Yahoo! \ Common \ yiesrvc.dll
O9 - Ekstra knap: ShopperReports - Compare produktpriser - (C5428486-50A0-4a02-9D20-520B59A9F9B2) - C: \ Programmer \ ShoppingReport \ Bin \ 2.0.26 \ ShoppingReport.dll (filen mangler)
O9 - Ekstra knap: ShopperReports - Compare rejse satser - (C5428486-50A0-4a02-9D20-520B59A9F9B3) - C: \ Programmer \ ShoppingReport \ Bin \ 2.0.26 \ ShoppingReport.dll (filen mangler)
O9 - Ekstra knap: Messenger - (FB5F1910-F110-11D2-BB9E-00C04F795683) - C: \ Programmer \ Messenger \ msmsgs.exe
O9 - Extra 'Tools' MENUITEM: Windows Messenger - (FB5F1910-F110-11D2-BB9E-00C04F795683) - C: \ Programmer \ Messenger \ msmsgs.exe
O16 - DPF: (05D44720-58E3-49E6-BDF6-D00330E511D3) (StagingUI Object) -- http://zone.msn.com/binFrameWork/v10...I.cab55579.cab
O16 - DPF: (30528230-99f7-4bb4-88d8-fa1d4f56a2ab) (Installation Support) - C: \ Programmer \ Yahoo! \ Common \ Yinsthelper.dll
O16 - DPF: (39B0684F-D7BF-4743-B050-FDC3F48F7E3B) -- http://www.fileplanet.com/fpdlmgr/ca..._2.3.6.108.cab
O16 - DPF: (3BB54395-5982-4788-8AF4-B5388FFDD0D8) (MSN Games - Buddy Inviter) -- http://zone.msn.com/BinFrameWork/v10...y.cab55579.cab
O16 - DPF: (48DD0448-9209-4F81-9F6D-D83562940134) (MySpace Uploader Control) -- http://lads.myspace.com/upload/MySpaceUploader1005.cab
O16 - DPF: (5736C456-EA94-4AAC-BB08-917ABDD035B3) (ZonePAChat Object) -- http://zone.msn.com/binframework/v10...t.cab55579.cab
O16 - DPF: (67A5F8DC-1A4B-4D66-9F24-A704AD929EEE) (System Requirements Lab) -- http://www.systemrequirementslab.com/sysreqlab2.cab
O16 - DPF: (9BDF4724-10AA-43D5-BD15-AEA0D2287303) (MSN Games - Texas Holdem poker) -- http://zone.msn.com/bingame/zpagames...e.cab60231.cab
O16 - DPF: (B8BE5E93-A60C-4D26-A2DC-220313175592) (MSN Games - Installer) -- http://cdn2.zone.msn.com/binFramewor...o.cab56649.cab
O16 - DPF: (DA2AA6CF-5C7A-4B71-BC3B-C771BB369937) (MSN Games - Game Communicator) -- http://zone.msn.com/binframework/v10...y.cab55579.cab
O20 - Winlogon Notify:! SASWinLogon - C: \ Programmer \ SUPERAntiSpyware \ SASWINLO.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C: \ Programmer \ Lavasoft \ Ad-Aware 2007 \ aawservice.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C: \ Programmer \ Common Files \ Apple \ Mobile Device Support \ bin \ AppleMobileDeviceService.exe
O23 - Service: Ati Genvejstast Poller - ATI Technologies Inc. - C: \ WINDOWS \ system32 \ Ati2evxx.exe
O23 - Service: ATI Smart - Unknown ejer - C: \ WINDOWS \ system32 \ ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - Grisoft sro - C: \ Programmer \ Grisoft \ AVG Anti-Spyware 7.5 \ guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - Grisoft, sro - C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - Grisoft, sro - C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - Grisoft, sro - C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgemc.exe
O23 - Service: InstallDriver Tabel Manager (IDriverT) - Macrovision Corporation - C: \ Programmer \ Common Files \ InstallShield \ Driver \ 1150 \ Intel 32 \ IDriverT.exe
O23 - Service: iPod Service - Apple Inc. - C: \ Programmer \ iPod \ bin \ iPodService.exe
O23 - Service: lxcf_device - - C: \ WINDOWS \ system32 \ lxcfcoms.exe
--
End of file - 7993 bytes

**evilfantasy** · #4 21 januar 2008, 20:59

Det afslørede ikke meget, vi bliver nødt til at gøre nogle mere grundige scanninger.

Et par tomme indgange til at fastsætte med HJT reel hurtigt.

Åbn HijackThis og vælg Må en systemscanning kun.

Anbringe en markering ved siden af følgende poster:

O9 - Ekstra knap: ShopperReports - Compare produktpriser - (C5428486-50A0-4a02-9D20-520B59A9F9B2) - C: \ Programmer \ ShoppingReport \ Bin \ 2.0.26 \ ShoppingReport.dll (filen mangler)
O9 - Ekstra knap: ShopperReports - Compare rejse satser - (C5428486-50A0-4a02-9D20-520B59A9F9B3) - C: \ Programmer \ ShoppingReport \ Bin \ 2.0.26 \ ShoppingReport.dll (filen mangler)

Luk alle vinduer undtagen HijackThis og klik Fix kontrolleres.

Afslut Hijackthis.

---------

Downloade CCleaner

Det foreslås at hente CCleaner - Slim -- Nr. Toolbar som er den version uden Yahoo! Toolbar.

Dobbeltklik på den ccsetup.exe filen for at starte installationen af programmet.
Vælg dit sprog, og klik OK, Derefter næste.
Læs licensaftalen, og klik Jeg accepterer.
Klik på næste til brug standardnavnet installere placering.
Under Installer Valg, vælge alle standardindstillingerne
Klik på Installer så finish for at fuldføre installationen.
Dobbeltklik på den CCleaner genvej på skrivebordet for at starte programmet.
På "Windows" fanen under "Internet Explorer", fjern markeringen i "Cookies", hvis du ikke vil have dem slettet. (Hvis slettet, vil du sandsynligvis nødt til at genindtaste dine adgangskoder på alle steder, hvor en cookie bruges til at genkende dig, når du besøger).
Hvis du bruger enten Firefox eller Mozilla browsere, feltet for at fjerne markeringen for "Cookies" er på fanen Programmer under Firefox / Mozilla.
Klik på "Valg"-ikon i venstre side af vinduet, og klik derefter på "Avanceret."
fravælg "Kun slette filer i Windows Temp mapper ældre end 48 timer."
Klik på "Cleaner" ikonet på venstre side af vinduet, og klik derefter på Kør Cleaner til at køre programmet.
Forsigtig: Kun bruge "topdomæneadministrator" funktion, hvis du er meget fortrolig med registreringsdatabasen, som det har været kendt for at finde legitime poster.
Altid sikkerhedskopiere dine registreringsdatabasen før at foretage nogen ændringer.
Efter CCleaner har afsluttet sit arbejde, skal du klikke på Afslut.

----------

Downloade SUPERAntispyware Free Edition (SAS)

Dobbeltklik på ikonet på skrivebordet for at køre installationsprogrammet.
Når der anmodes om at Opdatering programmet definitioner, skal du klikke på Ja
Næste klikke på Præferencer knappen.
Klik på Scanning Control fane.
Under Scanner Valg sørg for kun følgende er kontrolleret:
- Luk browsere før scanning
- Scan for tracking cookies
- Opsige hukommelse trusler før karantæne
- Indtal de andre markeret.
- Klik på knappen Luk for at forlade Kontrol Center skærmen.
Klik på Luk knappen for at forlade Kontrol Center skærmen.
På hovedskærmbilledet klik Scan computeren
På venstre check C: \ Fast Drive
På højre vælge Udfør Complete Scan
Klik på Næste for at starte scanningen. Vær tålmodig, mens den scanner din computer.
Når scanningen er fuldført en oversigt vises. Klik på OK
Sørg for alt i den hvide boks har en markeringen ud for det, og klik derefter på Næste
Det vil karantæne, hvad det findes, og hvis den spørger om du vil genstarte, skal du klikke på Ja
At hente fjernelse information bedes du gøre følgende:
- Efter genstart, skal du dobbeltklikke på SUPERAntiSpyware ikon på skrivebordet.
- Klik på Præferencer. Klik på Statistics / Logs fane.
- Under Scanner log, skal du dobbeltklikke på SUPERAntiSpyware Scan Log.
- Det vil åbne i din standard teksteditor (såsom Notepad / Wordpad).
- Gem notesblokken filen på skrivebordet ved at klikke (i Notesblok) Fil > Gem som...
Gem logfilen et sted, du nemt kan finde det. (normalt på skrivebordet)
Klik på Luk, og luk igen for at forlade programmet.
Skal du kopiere og derefter indsætte logge på dit indlæg.

----------

Næste post skal du tilføje
SuperantiSpyware log

**Psychaospath** · #5 21 januar 2008, 22:20

ok jeg endelig fik det gjort, men .... popups stadig her, anyways heres log:

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 01/22/2008 at 00:10

Application Version: 3.9.1008

Core Rules Database Version: 3385
Trace Rules Database Version: 1379

Scan type: Complete Scan
Total Scan Time: 00:48:33

Memory poster scannet: 556
Memory trusler opdaget: 0
Topdomæneadministratoren poster scannet: 4213
Topdomæneadministratoren trusler opdaget: 0
File poster skannet: 39567
File trusler opdaget: 8

Adware.Tracking Cookie
C: \ Documents and Settings \ Richard \ Cookies \ richard@login.revenueloop [2]. Txt
C: \ Documents and Settings \ Richard \ Cookies \ richard@publishers.clickb ooth [2]. Txt
C: \ Documents and Settings \ Richard \ Cookies \ richard @ DoubleClick [1]. Txt
C: \ Documents and Settings \ Richard \ Cookies \ richard@ads.pointroll [1]. Txt
C: \ Documents and Settings \ Richard \ Cookies \ richard @ bluestreak [1]. Txt
C: \ Documents and Settings \ Richard \ Cookies \ richard @ tribalfusion [2]. Txt
C: \ Documents and Settings \ Richard \ Cookies \ richard @ atdmt [2]. Txt

RootKit.TnCore / Trace
C: \ Windows \ System32 \ Drivers \ core.cache.dsk

**evilfantasy** · #6 21 januar 2008, 22:23

Denne scanning vil tage omkring 5 til 10 minutter.

Hent Combofix af subs fra en af de nedenstående links.
(Prøv alle tre, hvis det er nødvendigt)

VIGTIGT - Combofix.exe SKAL gemmes på dit Desktop.

Luk alle åbne Internet-browsere. (Firefox, Internet Explorer, etc)
Luk / deaktiver alle anti-virus og anti malware-programmer så de ikke interfererer med Combofix. <- VIGTIGT
- Klik på dette link at se en liste over programmer, der skal deaktiveres. Hvis din ikke er børsnoteret, og du ikke ved hvordan man deaktivere det, så spørg.
Dobbeltklik combofix.exe & følg instruktionerne.
- Fra tastaturet vælge 1 og tryk Indtast
Når du er færdig, vil den udarbejde en log for dig.
Post at logge på din næste svar.

Må ikke mouseclick combofix vindue, mens den kører.
Scanningen deaktiverer midlertidigt skrivebordet.
Hvis afbrydes den kan forlade computeren indefryses.
Hvis dette sker, skal du genstarte at genoprette skrivebordet.

Næste post
Combofix log

**Psychaospath** · #7 21 januar 2008, 22:48

ok gjorde det. men ive stadig fik popups :-( Heres log:

ComboFix 08-01-21.3 - Richard 2008-01-22 0:30:28.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1033.18.628 [GMT -5:00]
Kører fra: C: \ Documents and Settings \ Richard \ Desktop \ ComboFix.exe
* Skabt et nyt gendannelsespunkt
ADVARSEL-maskinen IKKE HAR RECOVERY CONSOLE INSTALLERET!!
.
((((((((((((((((((((((((((((((((((((((( Andre Bortfald ))))))))) ))))))))))))))))))))))))))))))))))))))))
.
C: \ temp \ tn3
C: \ Windows \ System32 \ Drivers \ core.cache.dsk. . . . undladt at slette
.
((((((((((((((((((((((((( Files Created fra 2007-12-22 til 2008-01-22 ))))))))))) ))))))))))))))))))))
.
2008-01-22 00:36. 2008-01-22 00:36 167.545 --------- C: \ Windows \ System32 \ Drivers \ core.cache.dsk
2008-01-22 00:34. 2008-01-22 00:34 <DIR> d -------- C: \ Temp \ tn3
2008-01-22 00:29. 2000-08-31 08:00 51.200 - a ------ C: \ WINDOWS \ Nircmd.exe
2008-01-21 23:10. 2008-01-21 23:10 <DIR> d -------- C: \ Programmer \ CCleaner
2008-01-21 22:47. 2008-01-21 22:47 <DIR> d -------- C: \ Programmer \ Trend Micro
2008-01-21 22:21. 2008-01-22 00:16 <DIR> d -------- C: \ Programmer \ SUPERAntiSpyware
2008-01-21 02:10. 2008-01-21 02:10 <DIR> d -------- C: \ Programmer \ Lavasoft
2008-01-21 02:09. 2008-01-21 22:20 <DIR> d -------- C: \ Programmer \ Common Files \ Wise Installation Wizard
2008-01-20 22:04. 2008-01-20 22:04 <DIR> d -------- C: \ Programmer \ Bazooka Scanner
2008-01-20 17:41. 2007-05-30 07:10 10.872 - a ------ C: \ Windows \ System32 \ Drivers \ AvgAsCln.sys
2008-01-20 16:39. 2008-01-20 16:39 86.144 - a ------ C: \ Windows \ System32 \ Drivers \ ALCXWDMM.sys
2008-01-12 16:25. 2008-01-12 16:25 <DIR> d -------- C: \ Programmer \ Electronic Arts
2008-01-12 15:11. 2005-06-24 16:24 438,272-ra ------ C: \ WINDOWS \ system32 \ vp6vfw.dll
2008-01-12 15:11. 2004-12-10 09:06 327.680 - a ------ C: \ WINDOWS \ system32 \ vp6dec.ax
2008-01-12 15:06. 2008-01-12 15:20 <DIR> d - h ----- C: \ WINDOWS \ msdownld.tmp
2008-01-10 19:21. 2008-01-10 19:21 <DIR> d -------- C: \ Programmer \ uTorrent
2008-01-10 19:01. 2008-01-10 19:21 <DIR> d -------- C: \ Programmer \ megamaps
2008-01-08 22:43. 2008-01-10 19:30 <DIR> d -------- C: \ Programmer \ Guitar Pro 5
2008-01-06 05:19. 2008-01-06 05:19 <DIR> d -------- C: \ Programmer \ Power Tab Software
2008-01-03 22:31. 2008-01-03 22:31 <DIR> d -------- C: \ AeriaGames
2008-01-03 21:30. 2008-01-12 21:55 <DIR> d -------- C: \ UnrealTournament
2007-12-25 14:25. 2007-12-28 16:53 90 - a ------ C: \ WINDOWS \ RCAMPEG4VC.ini
2007-12-25 14:18. 2006-09-13 14:52 561.152 - a ------ C: \ WINDOWS \ system32 \ xvidcore.dll
2007-12-25 14:18. 2006-09-13 15:01 237,568 - a ------ C: \ WINDOWS \ system32 \ xvidvfw.dll
2007-12-25 14:18. 2005-12-30 15:34 2864 - a ------ C: \ WINDOWS \ system32 \ xvid.inf
2007-12-25 14:17. 2007-12-25 14:17 <DIR> d -------- C: \ Programmer \ RCA
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))) ))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-20 20:59 --------- d - h - w C: \ Programmer \ InstallShield Installation Information
2008-01-17 00:48 --------- d ----- w C: \ Programmer \ Yahoo!
2008-01-16 01:15 --------- d ----- w C: \ Programmer \ Lx_cats
2008-01-11 00:21 --------- d ----- w C: \ Programmer \ Xfire
2008-01-11 00:21 --------- d ----- w C: \ Programmer \ LimeWire
2007-12-22 10:47 --------- d ----- w C: \ Programmer \ DriftCity
2007-12-20 07:35 --------- d ----- w C: \ Programmer \ Sierra On-Line
2007-12-18 08:02 --------- d ----- w C: \ Programmer \ NHN USA
2007-12-17 21:17 --------- d ----- w C: \ Programmer \ Bethesda Softworks
2007-12-05 04:14 --------- d ----- w C: \ Programmer \ SlySoft
2007-12-03 03:06 --------- d ----- w C: \ Programmer \ TGTSoft
2007-11-25 18:18 --------- d ----- w C: \ Programmer \ Common Files \ Sonic Shared
2007-11-22 05:03 --------- d ----- w C: \ Programmer \ Cliprex DVD Player Professional
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))) ))))))))))))))))))))))))))))))))))))))))
.
.
* Note * empty entries & legit default entries er ikke vist
REGEDIT4
[HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ Curre ntVersion \ Run]
"Ctfmon.exe" = "C: \ WINDOWS \ system32 \ Ctfmon.exe" [2004-08-04 07:00 15360]
"Daemon Tools" = "C: \ Programmer \ Daemon Tools \ daemon.exe" [2007-08-29 10:09 171464]
"Yahoo! Pager" = "C: \ Programmer \ Yahoo! \ Messenger \ YahooMessenger.exe" [2007-08-30 17:43 4670704]
"SUPERAntiSpyware" = "C: \ Programmer \ SUPERAntiSpyware \ SUPERAntiSpyware.exe" [2007-06-21 14:06 1318912]
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Curr entVersion \ Run]
"SoundMan" = "SOUNDMAN.EXE" [2006-11-16 16:42 577536 C: \ WINDOWS \ SOUNDMAN.EXE]
"ATICCC" = "C: \ Programmer \ ATI Technologies \ ATI.ACE \ cli.exe" [2005-08-12 13:43 45056]
"SunJavaUpdateSched" = "C: \ Programmer \ Java \ jre1.6.0_03 \ bin \ jusched.exe" [2007-09-25 01:11 132496]
"iTunesHelper" = "C: \ Programmer \ iTunes \ iTunesHelper.exe" [2007-09-26 13:42 267064]
"CloneCDTray" = "C: \ Programmer \ SlySoft \ CloneCD \ CloneCDTray.exe" [2006-09-28 14:21 57344]
"AVG7_CC" = "C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgcc.exe" [2008-01-20 17:18 579072]
"! AVG Anti-Spyware" = "C: \ Programmer \ Grisoft \ AVG Anti-Spyware 7.5 \ avgas.exe" [2007-06-11 04:25 6731312]
"LXCFCATS" = "C: \ WINDOWS \ System32 \ spool \ DRIVERS \ W32X 86 \ 3 \ LXCFtime.dll" [2005-07-20 12:47 73728]
[HKEY_USERS \. DEFAULT \ Software \ Microsoft \ Windows \ Cur rentVersion \ Run]
"AVG7_Run" = "C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgw.exe" [2008-01-20 17:18 219136]
C: \ Documents and Settings \ All Users \ Menuen Start \ Programmer \ Start \
Wireless Configuration Utility HW.15.lnk - C: \ Programmer \ TRENDnet \ TRENDnet TEW-421PC_TEW-423PI \ WlanCU.exe [2007-01-30 13:57:42 577536]
[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ curre ntversion \ policies \ system]
"DisableRegistryTools" = 0 (0x0)
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Curr entversion \ Explorer \ shellexecutehooks]
"(5AE067D3-9AFB-48E0-853A-EBB7F4A000DA)" = C: \ Programmer \ SUPERAntiSpyware \ SASSEH.DLL [2006-12-20 13:55 77824]
[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon]
"UIHost" = "LogonUI.EXE"
[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ anmelde \! SASWinLogon]
C: \ Programmer \ SUPERAntiSpyware \ SASWINLO.dll 2007-04-19 13:41 294912 C: \ Programmer \ SUPERAntiSpyware \ SASWINLO.dll
[HKLM \ ~ \ startupfolder \ C: ^ Documents and Settings ^ All Users ^ Start Menu ^ Programs ^ Startup ^ Sonic CinePlayer Quick Launch.lnk]
path = C: \ Documents and Settings \ All Users \ Menuen Start \ Programmer \ Start \ Sonic CinePlayer Quick Launch.lnk
backup = C: \ WINDOWS \ PSS \ Sonic CinePlayer Quick Launch.lnkCommon Startup
[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Shared Tools \ msconfig \ startupreg \ igndlm.exe]
C: \ Programmer \ Download Manager \ DLM.exe
[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Shared Tools \ msconfig \ startupreg \ MSMSGS]
--------- 2004-10-13 11:24 1694208 C: \ Programmer \ Messenger \ msmsgs.exe
[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Shared Tools \ msconfig \ startupreg \ QuickTime Task]
- a ------ 2007-06-29 05:24 286720 C: \ Programmer \ QuickTime \ qttask.exe
[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Shared Tools \ msconfig \ startupreg \ SBCSTray]
C: \ Programmer \ Sunbelt Software \ CounterSpy \ SBCSTray.exe
R0 videX32; videX32; C: \ Windows \ System32 \ Drivers \ videX3 2.sys [2006-10-17 07:22]
R0 xfilt; VIA SATA IDE Hot-plug Driver; C: \ Windows \ System32 \ Drivers \ xfilt.sys [2006-10-18 04:39]
R1 ALCXWDMM; ALCXWDMM; C: \ Windows \ System32 \ Drivers \ ALCX WDMM.sys [2008-01-20 16:39]
R1 Cinemsup; Cinemsup; C: \ Windows \ System32 \ Drivers \ cine msup.sys [2002-07-19 09:10]
R3 odysseyIM3; Odyssey Network Services Miniport; C: \ Windows \ System32 \ Drivers \ odysseyIM3.sy s [2007-08-17 20:35]
S3 rtl8180; Realtek RTL8180 Wireless LAN (Mini-) PCI NIC NT Driver; C: \ Windows \ System32 \ Drivers \ RTL8180.SYS [2003-12-30 12:20]
S3 SetupNTGLM7X; SetupNTGLM7X; D: \ NTGLM7X.sys []
[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ curre ntversion \ explorer \ mountpoints2 \ (5ed3c7c1-4bdf-11dc-8daa-806d6172696f)]
\ Shell \ AutoRun \ command - D: \ Autorun.exe

[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Active Setup \ Installed Components \ (2352721C-2267-DB51-0008-030706070804)]
C: \ WINDOWS \ system32 \ vsc32.exe
.
************************************************** ************************
catchme 0.3.1344 W2K/XP/Vista - rootkit / stealth malware detector ved Gmer, http://www.gmer.net
Rootkit scan 2008-01-22 00:37:48
Windows 5.1.2600 Service Pack 2 NTFS
scanning skjulte processer ...
scanning skjulte autostart entries ...
scanning skjulte filer ...
scanning afsluttet med succes
skjulte filer: 0
************************************************** ************************
.
Afslutning tid: 2008-01-22 0:42:14 - maskinen blev genstartet
ComboFix-karantæne-files.txt 2008-01-22 05:42:10
.
2008-01-11 00:38:07 --- EOF ---

**evilfantasy** · #8 21 januar 2008, 22:57

Nu download Den Avenger Ved Swandog46, Og gem den til dit skrivebord.

Uddrag avenger.exe fra zip-filen og gemme den på dit skrivebord
Kør avenger.exe ved at dobbeltklikke på det.
Kontroller Input scriptet manuelt kassen.
Klik på ikonet, som vil åbne et nyt vindue med titlen Vis / rediger script
Kopier alt i Codee boksen nedenfor, og indsæt den i feltet, der åbnes:

Code:

Mapper, der skal slettes: C: \ Temp \ tn3 Files slette: C: \ Windows \ System32 \ Drivers \ core.cache.dsk registreringsdatabasenøgler slette: HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Active Setup \ Installed Components \ (2352721C-2267 - DB51-0008-030706070804)

Bemærk: Ovenstående citat blev oprettet specielt til denne bruger. Hvis du ikke er denne bruger, ikke følger disse anvisninger, som de kunne skade funktionen af dit system

Nu skal du klikke på 'Gjort'Knappen.
Klik på Green Light og OK prompten.
Du vil blive bedt om at genstarte, skal du klikke på OK ved prompten og pc'en skal genstartes, hvis ikke, reboot det selv.
En logfil fra Avenger vil blive fremstillet på C: \ avenger.txt

Den Avenger vil automatisk gøre følgende:

Det vil Genstart computeren. (I tilfælde, hvor koden til at fuldbyrde indeholder "Drivers at losse", The Avenger faktisk vil genstarte dit system to gange.)
Om genstart, vil det kort åbne en sort kommando vindue på skrivebordet, dette er normalt.
Efter at genstarte, skal det opretter en logfil at skulle åbne med resultaterne af Avenger's aktioner.

Denne logfil vil blive placeret på C: \ avenger.txt

Den Avenger vil også have bakket op om alle de filer, osv., at du bad den om at slette, Og vil have zippet dem og flyttede zip-arkiver til C: \ Avenger \ backup.zip.

Vær så venlig vedhæfte den C: \ avenger.txt i dit næste indlæg.

----------

Næste post
Avenger log

**Psychaospath** · #9 21 januar 2008, 23:09

ok her u gå, stadig popups btw.

Logfile af The Avenger version 1, ved Swandog46
Kørsel fra nøgle i registreringsdatabasen:
\ Registry \ Machine \ System \ CurrentControlSet \ Service s \ hptxmheu
*******************
Script-fil på: wqwsrviw
Kunne ikke åbne scriptfil! Fejl
Kunne ikke åbne scriptfil! Status: 0xc000003b Abort!

**Psychaospath** · #10 21 januar 2008, 23:16

Ups mit dårlige jeg redid det, cuz log gjorde ikke se ret, og tilsyneladende jeg gjorde ikke gøre noget rigtigt første gang, heres den nye log. oh, og der er stadig popups.

Logfile af The Avenger version 1, ved Swandog46
Kørsel fra nøgle i registreringsdatabasen:
\ Registry \ Machine \ System \ CurrentControlSet \ Service s \ mkawvjax
*******************
Script-fil på: \? \ C: \ WINDOWS \ system32 \ ygueewld.txt
Scriptfil åbnet med succes.
Scriptfil læse held
Sikkerhedskopieringer bibliotek åbnet med succes på C: \ Avenger
*******************
Begynder at processen scriptfil:
Mappen C: \ Temp \ tn3 slettet.
File C: \ Windows \ System32 \ Drivers \ core.cache.dsk slettet.
Nøgle i registreringsdatabasen HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Active Setup \ Installed Components \ (2352721C-2267-DB51-0008-030706070804) slettet.
Completed script forarbejdning.
*******************
Færdig! Terminate.

Lignende Tråde
Tråd	Thread Starter	Forum	Svar	Last Post
Need Help Fjernelse Adware	ezong	Virus, Spyware & Sikkerhed	8	15 juli 2009 13:15
Tribalfusion er denne anden form for adware	hopthwoks	Virus, Spyware & Sikkerhed	2	2 februar 2009 01:37
Adware problemer	Marcus123	Virus, Spyware & Sikkerhed	3	30 januar 2008 11:11
Adware problemer kan ikke stoppe popups	Passat	Virus, Spyware & Sikkerhed	8	23 januar 2008 21:42
Nid hjælp! ~ Jeg kan ikke fjerne denne adware / virus!	jomm43point67	Virus, Spyware & Sikkerhed	10	16 januar 2008 08:38