Alvorlig Adware Problem

**Psychaospath** · #1 21st 2008, 20:16

Jeg har et alvorlig problem. Ive har noen form for adware på datamaskinen min. Når Im surfe, eller bare ha nettleseren åpne en popup sprette opp hver 2-3 minutter. Ive forsøkt bruker AVG Anti-Virus, AVG Anti-Spyware, CounterSpy og Bazooka Scanner.

De fant mange ting, jeg ble kvitt dem alle, i skannet på nytt, alt borte. Bortsett fra mange TrackingCookies, men det bør ikke bidra til adware problem. Disse er suppost å være de beste programmene.

Noen forslag til hva jeg trenger å bruke eller hva jeg bør gjøre?

**evilfantasy** · #2 21st 2008, 20:34

Kan ta en nærmere titt.

Last ned og endre navn HijackThis (HJT)

Dobbeltklikk på HJTInstall.
Klikk på Installer knappen.
Det vil automatisk plass HJT i C: \ Programfiler \ TrendMicro \ HijackThis \ HijackThis.exe.
Ved å installere, HijackThis skal åpne for deg.
- Lukk HijackThis og endre navnet.
- Gå til C: \ Programfiler \ Trend Micro \HijackThis.exe
- Høyreklikk på HijackThis.exe og velg Rename.
- Skriv inn sniper.exe og trykk Angi.
- Høyreklikk på sniper.exe og velg Send til > Desktop (opprette snarvei)
Fra skrivebordet åpner HiajckThis.
Hvis du bruker Windows Vista, må du Kjør som Administrator
Klikk på Gjør et system skanne og lagre en loggfil knappen
HijackThis skanner og deretter en logg åpnes i notepad.
Kopier og lim loggen i innlegget.
- Ikke har Hijackthis fikse noe ennå. Det meste av det de finner vil være harmløs eller kreves.

Selv om vi har omdøpt HijackThis til snikskytter, vi vil likevel se det som HijackThis eller HJT.

**Psychaospath** · #3 21st 2008, 20:50

Logfile of Trend Micro HijackThis v2.0.2
Scan lagret 10:50:07 PM, on 1/21/2008
Plattform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal
Kjører prosesser:
C: \ WINDOWS \ System32 \ smss.exe
C: \ WINDOWS \ system32 \ Winlogon.exe
C: \ WINDOWS \ system32 \ Services.exe
C: \ WINDOWS \ system32 \ Lsass.exe
C: \ WINDOWS \ system32 \ Ati2evxx.exe
C: \ WINDOWS \ system32 \ Svchost.exe
C: \ WINDOWS \ system32 \ Svchost.exe
C: \ WINDOWS \ system32 \ Svchost.exe
C: \ Programfiler \ Lavasoft \ Ad-Aware 2007 \ aawservice.exe
C: \ WINDOWS \ system32 \ Ati2evxx.exe
C: \ WINDOWS \ Explorer.exe
C: \ WINDOWS \ system32 \ Spoolsv.exe
C: \ WINDOWS \ SOUNDMAN.EXE
C: \ Programfiler \ ATI Technologies \ ATI.ACE \ cli.exe
C: \ Programfiler \ Java \ jre1.6.0_03 \ bin \ jusched.exe
C: \ Programfiler \ iTunes \ iTunesHelper.exe
C: \ Programfiler \ SlySoft \ CloneCD \ CloneCDTray.exe
C: \ progra ~ 1 \ Grisoft \ AVG7 \ avgcc.exe
C: \ Programfiler \ Grisoft \ AVG Anti-Spyware 7.5 \ avgas.exe
C: \ WINDOWS \ system32 \ Ctfmon.exe
C: \ Programfiler \ DAEMON Tools \ daemon.exe
C: \ Programfiler \ SUPERAntiSpyware \ SUPERAntiSpyware.exe
C: \ Programfiler \ TRENDnet \ TRENDnet TEW-421PC_TEW-423PI \ WlanCU.exe
C: \ Programfiler \ Fellesfiler \ Apple \ Mobile Device Support \ bin \ AppleMobileDeviceService.exe
C: \ Programfiler \ Grisoft \ AVG Anti-Spyware 7.5 \ guard.exe
C: \ progra ~ 1 \ Grisoft \ AVG7 \ avgamsvr.exe
C: \ progra ~ 1 \ Grisoft \ AVG7 \ avgupsvc.exe
C: \ progra ~ 1 \ Grisoft \ AVG7 \ avgemc.exe
C: \ Programfiler \ iPod \ bin \ iPodService.exe
C: \ Programfiler \ ATI Technologies \ ATI.ACE \ cli.exe
C: \ Programfiler \ ATI Technologies \ ATI.ACE \ cli.exe
C: \ Programfiler \ Internet Explorer \ iexplore.exe
C: \ Programfiler \ Trend Micro \ HijackThis \ sniper.exe
R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://www.yahoo.com/
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Page_URL = http://www.yahoo.com/
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Search_URL = http://us.rd.yahoo.com/customize/ie/.../www.yahoo.com
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Search Bar = http://us.rd.yahoo.com/customize/ie/...ch/search.html
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Search Page = http://us.rd.yahoo.com/customize/ie/.../www.yahoo.com
R0 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://www.yahoo.com/
R0 - HKLM \ Software \ Microsoft \ Internet Explorer \ Search, CustomizeSearch =
R3 - URLSearchHook: Yahoo! Toolbar - (EF99BD32-C1FB-11D2-892F-0090271D4F88) - C: \ progra ~ 1 \ Yahoo! \ Companion \ Installerer \ cpn \ yt.dll
O2 - BHO: & Yahoo! Toolbar Helper - (02478D38-C3F9-4efb-9B51-7695ECA05670) - c: \ progra ~ 1 \ Yahoo! \ Companion \ Installerer \ cpn \ yt.dll
O2 - BHO: Yahoo! IE Services Button - (5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897) - C: \ Programfiler \ Yahoo! \ Common \ yiesrvc.dll
O2 - BHO: SSVHelper Class - (761497BB-D6F0-462C-B6EB-D4DAF1D92D43) - C: \ Programfiler \ Java \ jre1.6.0_03 \ bin \ ssv.dll (fil mangler)
O3 - Toolbar: Yahoo! Toolbar - (EF99BD32-C1FB-11D2-892F-0090271D4F88) - C: \ progra ~ 1 \ Yahoo! \ Companion \ Installerer \ cpn \ yt.dll
O4 - HKLM \ .. \ Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM \ .. \ Run: [ATICCC] "C: \ Programfiler \ ATI Technologies \ ATI.ACE \ cli.exe" runtime-Delay
O4 - HKLM \ .. \ Run: [SunJavaUpdateSched] "C: \ Programfiler \ Java \ jre1.6.0_03 \ bin \ jusched.exe"
O4 - HKLM \ .. \ Run: [iTunesHelper] "C: \ Programfiler \ iTunes \ iTunesHelper.exe"
O4 - HKLM \ .. \ Run: [CloneCDTray] "C: \ Programfiler \ SlySoft \ CloneCD \ CloneCDTray.exe" / s
O4 - HKLM \ .. \ Run: [AVG7_CC] C: \ progra ~ 1 \ Grisoft \ AVG7 \ avgcc.exe / STARTUP
O4 - HKLM \ .. \ Run: [! AVG Anti-Spyware] "C: \ Programfiler \ Grisoft \ AVG Anti-Spyware 7.5 \ avgas.exe" / minimeres
O4 - HKLM \ .. \ Run: [LXCFCATS] rundll32 C: \ WINDOWS \ system32 \ Spool \ drivers \ W32X86 \ 3 \ LXCFtim e.dll, _RunDLLEntry @ 16
O4 - HKCU \ .. \ Run: [Ctfmon.exe] C: \ WINDOWS \ system32 \ Ctfmon.exe
O4 - HKCU \ .. \ Run: [DAEMON Tools] "C: \ Programfiler \ DAEMON Tools \ daemon.exe"-lang 1033
O4 - HKCU \ .. \ Run: [Yahoo! Personsøker] "C: \ Programfiler \ Yahoo! \ Messenger \ YahooMessenger.exe" stille
O4 - HKCU \ .. \ Run: [SUPERAntiSpyware] C: \ Programfiler \ SUPERAntiSpyware \ SUPERAntiSpyware.exe
O4 - HKUS \ S-1-5-19 \ .. \ Run: [AVG7_Run] C: \ progra ~ 1 \ Grisoft \ AVG7 \ avgw.exe / RunOnce (User 'LOCAL SERVICE')
O4 - HKUS \ S-1-5-20 \ .. \ Run: [AVG7_Run] C: \ progra ~ 1 \ Grisoft \ AVG7 \ avgw.exe / RunOnce (User 'NETWORK SERVICE')
O4 - HKUS \ S-1-5-18 \ .. \ Run: [AVG7_Run] C: \ progra ~ 1 \ Grisoft \ AVG7 \ avgw.exe / RunOnce (User 'SYSTEM')
O4 - HKUS \. DEFAULT \ .. \ Run: [AVG7_Run] C: \ progra ~ 1 \ Grisoft \ AVG7 \ avgw.exe / RunOnce (User 'Default user')
O4 - Global Startup: Wireless Configuration Utility HW.15.lnk = C: \ Programfiler \ TRENDnet \ TRENDnet TEW-421PC_TEW-423PI \ WlanCU.exe
O9 - Extra knappen: Yahoo! Services - (5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897) - C: \ Programfiler \ Yahoo! \ Common \ yiesrvc.dll
O9 - Extra knappen: ShopperReports - Sammenlign produktpriser - (C5428486-50A0-4a02-9D20-520B59A9F9B2) - C: \ Programfiler \ ShoppingReport \ Bin \ 2.0.26 \ ShoppingReport.dll (fil mangler)
O9 - Extra knappen: ShopperReports - Sammenlign travel rates - (C5428486-50A0-4a02-9D20-520B59A9F9B3) - C: \ Programfiler \ ShoppingReport \ Bin \ 2.0.26 \ ShoppingReport.dll (fil mangler)
O9 - Extra knappen: Messenger - (FB5F1910-F110-11d2-BB9E-00C04F795683) - C: \ Programfiler \ Messenger \ msmsgs.exe
O9 - Extra "Verktøy" MENUITEM: Windows Messenger - (FB5F1910-F110-11d2-BB9E-00C04F795683) - C: \ Programfiler \ Messenger \ msmsgs.exe
O16 - DPF: (05D44720-58E3-49E6-BDF6-D00330E511D3) (StagingUI Object) -- http://zone.msn.com/binFrameWork/v10...I.cab55579.cab
O16 - DPF: (30528230-99f7-4bb4-88d8-fa1d4f56a2ab) (Installation Support) - C: \ Programfiler \ Yahoo! \ Common \ Yinsthelper.dll
O16 - DPF: (39B0684F-D7BF-4743-B050-FDC3F48F7E3B) -- http://www.fileplanet.com/fpdlmgr/ca..._2.3.6.108.cab
O16 - DPF: (3BB54395-5982-4788-8AF4-B5388FFDD0D8) (MSN Games - Buddy Inviter) -- http://zone.msn.com/BinFrameWork/v10...y.cab55579.cab
O16 - DPF: (48DD0448-9209-4F81-9F6D-D83562940134) (MySpace Uploader Control) -- http://lads.myspace.com/upload/MySpaceUploader1005.cab
O16 - DPF: (5736C456-EA94-4AAC-BB08-917ABDD035B3) (ZonePAChat Object) -- http://zone.msn.com/binframework/v10...t.cab55579.cab
O16 - DPF: (67A5F8DC-1A4B-4D66-9F24-A704AD929EEE) (System Requirements Lab) -- http://www.systemrequirementslab.com/sysreqlab2.cab
O16 - DPF: (9BDF4724-10AA-43D5-BD15-AEA0D2287303) (MSN Games - Texas Holdem Poker) -- http://zone.msn.com/bingame/zpagames...e.cab60231.cab
O16 - DPF: (B8BE5E93-A60C-4D26-A2DC-220313175592) (MSN Games - Installer) -- http://cdn2.zone.msn.com/binFramewor...o.cab56649.cab
O16 - DPF: (DA2AA6CF-5C7A-4B71-BC3B-C771BB369937) (MSN Games - Game Communicator) -- http://zone.msn.com/binframework/v10...y.cab55579.cab
O20 - Winlogon Notify:! SASWinLogon - C: \ Programfiler \ SUPERAntiSpyware \ SASWINLO.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C: \ Programfiler \ Lavasoft \ Ad-Aware 2007 \ aawservice.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C: \ Programfiler \ Fellesfiler \ Apple \ Mobile Device Support \ bin \ AppleMobileDeviceService.exe
O23 - Service: ATI Hurtigtast Poller - ATI Technologies Inc. - C: \ WINDOWS \ system32 \ Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C: \ WINDOWS \ system32 \ ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - Grisoft sro - C: \ Programfiler \ Grisoft \ AVG Anti-Spyware 7.5 \ guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - Grisoft, sro - C: \ progra ~ 1 \ Grisoft \ AVG7 \ avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - Grisoft, sro - C: \ progra ~ 1 \ Grisoft \ AVG7 \ avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - Grisoft, sro - C: \ progra ~ 1 \ Grisoft \ AVG7 \ avgemc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C: \ Programfiler \ Fellesfiler \ InstallShield \ Driver \ 1150 \ Intel 32 \ IDriverT.exe
O23 - Service: iPod Service - Apple Inc. - C: \ Programfiler \ iPod \ bin \ iPodService.exe
O23 - Service: lxcf_device - - C: \ WINDOWS \ system32 \ lxcfcoms.exe
--
End of file - 7993 bytes

**evilfantasy** · #4 21st 2008, 20:59

Som ikke avsløre mye, trenger vi å gjøre noe mer grundig skanninger.

Et par tomme oppføringer å fikse med HJT virkelig rask.

Åpne HijackThis og velg Gjør et søk.

Sett et merke ved siden av følgende oppføringer:

O9 - Extra knappen: ShopperReports - Sammenlign produktpriser - (C5428486-50A0-4a02-9D20-520B59A9F9B2) - C: \ Programfiler \ ShoppingReport \ Bin \ 2.0.26 \ ShoppingReport.dll (fil mangler)
O9 - Extra knappen: ShopperReports - Sammenlign travel rates - (C5428486-50A0-4a02-9D20-520B59A9F9B3) - C: \ Programfiler \ ShoppingReport \ Bin \ 2.0.26 \ ShoppingReport.dll (fil mangler)

Lukk alle vinduer unntatt HijackThis og klikk Fix kontrolleres.

Avslutt Hijackthis.

---------

Laste ned CCleaner

Det er anbefalt å laste ned CCleaner - Slim -- Ingen Verktøylinje som er den versjonen uten Yahoo! Toolbar.

Dobbeltklikk på ccsetup.exe fil for å starte installasjonen av programmet.
Velg et språk, og klikk OK, Deretter neste.
Les lisensavtalen og klikk Jeg godtar.
Klikk neste å bruke standard installere sted.
Under installering Valg, velger alle standardinnstillingene
Klikk Installer så finish for å fullføre installasjonen.
Dobbeltklikk CCleaner snarvei på skrivebordet for å starte programmet.
På "Windows"-kategorien under "Internet Explorer", fjern merket "Informasjonskapsler" hvis du ikke ønsker dem slettet. (Hvis du slettet, vil du sannsynligvis må angir du passord på alle områder hvor en cookie er brukt til å gjenkjenne deg når du besøker).
Hvis du bruke enten Firefox eller Mozilla nettlesere boksen for å fjerne markeringen for "Cookies" er på kategorien Programmer under Firefox-/Mozilla-kontakter.
Klikk på "Alternativer"-ikonet til venstre i vinduet, og klikk på "Avansert".
avvelge "Bare slette filer i Windows Temp mapper eldre enn 48 timer."
Klikk på "Cleaner"-ikonet på venstre side av vinduet, og klikk Kjør Cleaner å kjøre programmet.
Forsiktig: Bare bruk "Register" funksjonen hvis du er kjent med det som det er kjent for å finne legitime eks.
Alltid sikkerhetskopiere registret før å gjøre endringer.
Etter CCleaner har avsluttet sin prosess, klikk Avslutt.

----------

Laste ned SUPERAntispyware Free Edition (SAS)

Dobbeltklikk på ikonet på skrivebordet for å kjøre installasjonsprogrammet.
Når spurt om å Oppdatering programmet definisjoner, klikk Ja
Neste Klikk Preferanser knappen.
Klikk Scanning Control tab.
Under Scanner Valg sørg bare følgende er kontrollert:
- Lukk lesere før skanning
- Søk etter sporingskapsler
- Terminate minne trusler før quarantining
- Vennligst la andre ukontrollert.
- Klikk Lukk for å forlate kontrollsenter skjermen.
Klikk Lukke knappen for å forlate kontrollsenter skjermen.
På hovedskjermen klikk Skanner datamaskinen
På venstre sjekk C: \ Fixed Drive
På høyre velge Utfør Complete Scan
Klikk Neste å starte skanningen. Vær tålmodig mens den skanner datamaskinen din.
Når skanningen er fullført et sammendrag boks. Klikk OK
Sørg for at alt i den hvite boksen har et merke ved siden av den, klikk Neste
Det vil karantene det funnet, og hvis den spør om du vil starte på nytt, klikker du Ja
Å hente fjerningen informasjon, vennligst gjør følgende:
- Etter omstart, dobbeltklikker SUPERAntiSpyware ikon på skrivebordet.
- Klikk Preferanser. Klikk Statistikk / Logs tab.
- Under Scanner Logger, dobbeltklikk SUPERAntiSpyware Scan Logg.
- Det åpnes i standard tekstredigeringsprogram (for eksempel Notepad / Wordpad).
- Lagre notisblokken filen på skrivebordet ved å klikke (i notepad) Fil > Lagre som...
Lagre loggen sted du lett kan finne den. (normalt skrivebordet)
Klikk Lukk, og lukk igjen for å avslutte programmet.
Vennligst kopier og lim loggen i innlegget.

----------

Neste innlegg kan du legge
SuperantiSpyware logg

**Psychaospath** · #5 21st 2008, 22:20

ok jeg endelig fikk det gjort, men .... sprettoppvindauge her fortsatt, anyways heres loggen:

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 01/22/2008 at 00:10

Application Version: 3.9.1008

Core Rules Database Version: 3385
Trace Rules Database Version: 1379

Scan type: Complete Scan
Total Scan Time: 00:48:33

Minne eks skannet: 556
Minne trusler oppdages: 0
Registerelementene skannet: 4213
Registerverdi trusler oppdages: 0
Fil eks skannet: 39567
Fil trusler oppdages: 8

Adware.Tracking Cookie
C: \ Documents and Settings \ Richard \ Cookies \ richard@login.revenueloop [2]. Txt
C: \ Documents and Settings \ Richard \ Cookies \ richard@publishers.clickb ooth [2]. Txt
C: \ Documents and Settings \ Richard \ Cookies \ richard @ DoubleClick [1]. Txt
C: \ Documents and Settings \ Richard \ Cookies \ richard@ads.pointroll [1]. Txt
C: \ Documents and Settings \ Richard \ Cookies \ richard @ bluestreak [1]. Txt
C: \ Documents and Settings \ Richard \ Cookies \ richard @ tribalfusion [2]. Txt
C: \ Documents and Settings \ Richard \ Cookies \ richard @ atdmt [2]. Txt

RootKit.TnCore / Trace
C: \ WINDOWS \ system32 \ drivers \ core.cache.dsk

**evilfantasy** · #6 21st 2008, 22:23

Dette søket vil ta rundt 5 til 10 minutter.

Last ned Combofix av ubåter fra én av de nedenfor koblinger.
(Prøv alle tre om nødvendig)

VIKTIG - Combofix.exe MÅ være lagret på din Desktop.

Lukk alle åpne weblesere. (Firefox, Internet Explorer, osv.)
Lukk / deaktiver alle anti-virus og anti malware-programmene slik at de ikke forstyrrer Combofix. <- VIKTIG
- Klikk på denne koblingen å se en liste over programmer som skal være deaktivert. Hvis din ikke er oppført og du ikke vet hvordan du deaktivere den, kan du spørre.
Dobbeltklikk combofix.exe og følg instruksjonene.
- Fra tastaturet velger 1 og trykk Angi
Når du er ferdig, vil den produsere en logg for deg.
Post denne loggen i din neste svaret.

Ikke mouseclick combofix's vinduet mens den kjører.
Skanningen vil midlertidig deaktivere skrivebordet.
Hvis avbrutt kan det forlater maskinen fryst.
Hvis dette skjer, kan du starte på nytt for å gjenopprette skrivebordet.

Neste post
Combofix log

**Psychaospath** · #7 21 januar 2008, 22:48

ok gjorde det. men Ive fremdeles fikk sprettoppvindauge :-( Heres loggen:

ComboFix 08-01-21.3 - Richard 2008-01-22 0:30:28.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1033.18.628 [GMT -5:00]
Running from: C: \ Documents and Settings \ Richard \ Skrivebord \ ComboFix.exe
* Opprettet et nytt gjenopprettingspunkt
ADVARSEL-Denne maskinen har ikke gjenopprettingskonsollen INSTALLERT!
.
((((((((((((((((((((((((((((((((((((((( Other slettingene ))))))))) ))))))))))))))))))))))))))))))))))))))))
.
C: \ temp \ tn3
C: \ WINDOWS \ system32 \ drivers \ core.cache.dsk. . . . Kunne ikke slette
.
((((((((((((((((((((((((( Files Created fra 2007-12-22 til 2008-01-22 ))))))))))) ))))))))))))))))))))
.
2008-01-22 00:36. 2008-01-22 00:36 167.545 --------- C: \ WINDOWS \ system32 \ drivers \ core.cache.dsk
2008-01-22 00:34. 2008-01-22 00:34 <DIR> d -------- C: \ Temp \ tn3
2008-01-22 00:29. 2000-08-31 08:00 51.200 - en ------ C: \ WINDOWS \ Nircmd.exe
2008-01-21 23:10. 2008-01-21 23:10 <DIR> d -------- C: \ Programfiler \ CCleaner
2008-01-21 22:47. 2008-01-21 22:47 <DIR> d -------- C: \ Programfiler \ Trend Micro
2008-01-21 22:21. 2008-01-22 00:16 <DIR> d -------- C: \ Programfiler \ SUPERAntiSpyware
2008-01-21 02:10. 2008-01-21 02:10 <DIR> d -------- C: \ Programfiler \ Lavasoft
2008-01-21 02:09. 2008-01-21 22:20 <DIR> d -------- C: \ Programfiler \ Fellesfiler \ Wise Installation Wizard
2008-01-20 22:04. 2008-01-20 22:04 <DIR> d -------- C: \ Programfiler \ Bazooka Scanner
2008-01-20 17:41. 2007-05-30 07:10 10.872 - en ------ C: \ WINDOWS \ system32 \ drivers \ AvgAsCln.sys
2008-01-20 16:39. 2008-01-20 16:39 86.144 - en ------ C: \ WINDOWS \ system32 \ drivers \ ALCXWDMM.sys
2008-01-12 16:25. 2008-01-12 16:25 <DIR> d -------- C: \ Programfiler \ Electronic Arts
2008-01-12 15:11. 2005-06-24 16:24 438.272-ra ------ C: \ WINDOWS \ system32 \ vp6vfw.dll
2008-01-12 15:11. 2004-12-10 09:06 327.680 - en ------ C: \ WINDOWS \ system32 \ vp6dec.ax
2008-01-12 15:06. 2008-01-12 15:20 <DIR> d - h ----- C: \ WINDOWS \ MSDOWNLD.TMP
2008-01-10 19:21. 2008-01-10 19:21 <DIR> d -------- C: \ Programfiler \ uTorrent
2008-01-10 19:01. 2008-01-10 19:21 <DIR> d -------- C: \ Programfiler \ megamaps
2008-01-08 22:43. 2008-01-10 19:30 <DIR> d -------- C: \ Program Files \ Guitar Pro 5
2008-01-06 05:19. 2008-01-06 05:19 <DIR> d -------- C: \ Programfiler \ Power Tab Software
2008-01-03 22:31. 2008-01-03 22:31 <DIR> d -------- C: \ AeriaGames
2008-01-03 21:30. 2008-01-12 21:55 <DIR> d -------- C: \ UnrealTournament
2007-12-25 14:25. 2007-12-28 16:53 90 - en ------ C: \ WINDOWS \ RCAMPEG4VC.ini
2007-12-25 14:18. 2006-09-13 14:52 561.152 - en ------ C: \ WINDOWS \ system32 \ xvidcore.dll
2007-12-25 14:18. 2006-09-13 15:01 237.568 - en ------ C: \ WINDOWS \ system32 \ xvidvfw.dll
2007-12-25 14:18. 2005-12-30 15:34 2.864 - en ------ C: \ WINDOWS \ system32 \ xvid.inf
2007-12-25 14:17. 2007-12-25 14:17 <DIR> d -------- C: \ Programfiler \ RCA
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))) ))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-20 20:59 --------- d - h - w C: \ Programfiler \ InstallShield Installasjonsinformasjon
2008-01-17 00:48 --------- d ----- w C: \ Programfiler \ Yahoo!
2008-01-16 01:15 --------- d ----- w C: \ Programfiler \ Lx_cats
2008-01-11 00:21 --------- d ----- w C: \ Programfiler \ Xfire
2008-01-11 00:21 --------- d ----- w C: \ Programfiler \ LimeWire
2007-12-22 10:47 --------- d ----- w C: \ Programfiler \ DriftCity
2007-12-20 07:35 --------- d ----- w C: \ Program Files \ Sierra On-Line
2007-12-18 08:02 --------- d ----- w C: \ Programfiler \ NHN USA
2007-12-17 21:17 --------- d ----- w C: \ Programfiler \ Bethesda Softworks
2007-12-05 04:14 --------- d ----- w C: \ Programfiler \ SlySoft
2007-12-03 03:06 --------- d ----- w C: \ Programfiler \ TGTSoft
2007-11-25 18:18 --------- d ----- w C: \ Programfiler \ Fellesfiler \ Sonic Shared
2007-11-22 05:03 --------- d ----- w C: \ Programfiler \ Cliprex DVD Player Professional
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))) ))))))))))))))))))))))))))))))))))))))))
.
.
* Note * empty entries & legit default entries ikke vises
REGEDIT4
[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Curre ntVersion \ Run]
"Ctfmon.exe" = "C: \ WINDOWS \ system32 \ Ctfmon.exe" [2004-08-04 07:00 15360]
"DAEMON Tools" = "C: \ Programfiler \ DAEMON Tools \ daemon.exe" [2007-08-29 10:09 171464]
"Yahoo! Personsøker" = "C: \ Programfiler \ Yahoo! \ Messenger \ YahooMessenger.exe" [2007-08-30 17:43 4670704]
"SUPERAntiSpyware" = "C: \ Programfiler \ SUPERAntiSpyware \ SUPERAntiSpyware.exe" [2007-06-21 14:06 1318912]
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Curr entVersion \ Run]
"SoundMan" = "SOUNDMAN.EXE" [2006-11-16 16:42 577536 C: \ WINDOWS \ SOUNDMAN.EXE]
"ATICCC" = "C: \ Programfiler \ ATI Technologies \ ATI.ACE \ cli.exe" [2005-08-12 13:43 45056]
"SunJavaUpdateSched" = "C: \ Programfiler \ Java \ jre1.6.0_03 \ bin \ jusched.exe" [2007-09-25 01:11 132496]
"iTunesHelper" = "C: \ Programfiler \ iTunes \ iTunesHelper.exe" [2007-09-26 13:42 267064]
"CloneCDTray" = "C: \ Programfiler \ SlySoft \ CloneCD \ CloneCDTray.exe" [2006-09-28 14:21 57344]
"AVG7_CC" = "C: \ progra ~ 1 \ Grisoft \ AVG7 \ avgcc.exe" [2008-01-20 17:18 579072]
"! AVG Anti-Spyware" = "C: \ Programfiler \ Grisoft \ AVG Anti-Spyware 7.5 \ avgas.exe" [2007-06-11 04:25 6731312]
"LXCFCATS" = "C: \ WINDOWS \ system32 \ Spool \ drivers \ W32X 86 \ 3 \ LXCFtime.dll" [2005-07-20 12:47 73728]
[HKEY_USERS \. DEFAULT \ Software \ Microsoft \ Windows \ Cur rentVersion \ Run]
"AVG7_Run" = "C: \ progra ~ 1 \ Grisoft \ AVG7 \ avgw.exe" [2008-01-20 17:18 219136]
C: \ Documents and Settings \ All Users \ Start-meny \ Programmer \ Startup
Wireless Configuration Utility HW.15.lnk - C: \ Programfiler \ TRENDnet \ TRENDnet TEW-421PC_TEW-423PI \ WlanCU.exe [2007-01-30 13:57:42 577536]
[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ curre ntversion \ policies \ system]
"DisableRegistryTools" = 0 (0x0)
[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ curr entversion \ Explorer \ shellexecutehooks]
"(5AE067D3-9AFB-48E0-853A-EBB7F4A000DA)" = C: \ Programfiler \ SUPERAntiSpyware \ SASSEH.DLL [2006-12-20 13:55 77824]
[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon]
"UIHost" = "LogonUI.EXE"
[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ Notify \! SASWinLogon]
C: \ Programfiler \ SUPERAntiSpyware \ SASWINLO.dll 2007-04-19 13:41 294912 C: \ Programfiler \ SUPERAntiSpyware \ SASWINLO.dll
[HKLM \ ~ \ startupfolder \ C: ^ Documents and Settings ^ All Users ^ Start Menu ^ Programs ^ Startup ^ Sonic CinePlayer Quick Launch.lnk]
path = C: \ Documents and Settings \ All Users \ Start-meny \ Programmer \ Oppstart \ Sonic CinePlayer Quick Launch.lnk
backup = C: \ WINDOWS \ PSS \ Sonic CinePlayer Quick Launch.lnkCommon Startup
[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Shared Tools \ msconfig \ startupreg \ igndlm.exe]
C: \ Programfiler \ Download Manager \ DLM.exe
[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Shared Tools \ msconfig \ startupreg \ MSMSGS]
--------- 2004-10-13 11:24 1694208 C: \ Programfiler \ Messenger \ msmsgs.exe
[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Shared Tools \ msconfig \ startupreg \ QuickTime Task]
- en ------ 2007-06-29 05:24 286720 C: \ Programfiler \ QuickTime \ qttask.exe
[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Shared Tools \ msconfig \ startupreg \ SBCSTray]
C: \ Programfiler \ Sunbelt Software \ CounterSpy \ SBCSTray.exe
R0 videX32; videX32; C: \ WINDOWS \ system32 \ drivers \ videX3 2.sys [2006-10-17 07:22]
R0 xfilt; VIA SATA IDE Hot-plug Driver; C: \ WINDOWS \ system32 \ drivers \ xfilt.sys [2006-10-18 04:39]
R1 ALCXWDMM; ALCXWDMM; C: \ WINDOWS \ system32 \ drivers \ ALCX WDMM.sys [2008-01-20 16:39]
R1 Cinemsup; Cinemsup; C: \ WINDOWS \ system32 \ drivers \ smalfilm msup.sys [2002-07-19 09:10]
R3 odysseyIM3; Odyssey Network Services Miniport; C: \ WINDOWS \ system32 \ drivers \ odysseyIM3.sy s [2007-08-17 20:35]
S3 rtl8180; Realtek RTL8180 Wireless LAN (Mini-) PCI NIC NT Driver; C: \ WINDOWS \ system32 \ drivers \ RTL8180.SYS [2003-12-30 12:20]
S3 SetupNTGLM7X; SetupNTGLM7X; D: \ NTGLM7X.sys []
[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ curre ntversion \ Explorer \ mountpoints2 \ (5ed3c7c1-4bdf-11dc-8daa-806d6172696f)]
\ Shell \ AutoRun \ command - D: \ Autorun.exe

[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Active Setup \ Installed Components \ (2352721C-2267-DB51-0008-030706070804)]
C: \ WINDOWS \ system32 \ vsc32.exe
.
************************************************** ************************
CatchMe 0.3.1344 W2K/XP/Vista - rootkit / skjulemodus malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-22 00:37:48
Windows 5.1.2600 Service Pack 2 NTFS
skanning skjulte prosesser ...
scanning hidden autostart entries ...
skanning skjulte filer ...
skanning er fullført
skjulte filer: 0
************************************************** ************************
.
Fullføringstidspunkt: 2008-01-22 0:42:14 - machine was omstartet
ComboFix-karantene-files.txt 2008-01-22 05:42:10
.
2008-01-11 00:38:07 --- EOF ---

**evilfantasy** · #8 21st 2008, 22:57

Nå nedlasting The Avenger Ved Swandog46Og lagre den på skrivebordet ditt.

Pakk avenger.exe fra zip-filen og lagre den på skrivebordet
Kjør avenger.exe ved å dobbeltklikke på den.
Sjekk Input skriptet manuelt boksen.
Klikk på forstørrelsesglassikon som vil åpne et nytt vindu med tittelen Vis / rediger script
Kopier alt i Codee boksen nedenfor, og lim den inn i boksen som åpnes:

Code:

Mappene som skal slettes: C: \ Temp \ tn3 Filer som skal slettes: C: \ WINDOWS \ system32 \ drivers \ core.cache.dsk registernøkler slette: HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Active Setup \ Installed Components \ (2352721C-2267 - DB51-0008-030706070804)

Merk: ovenstående sitat ble opprettet spesielt for denne brukeren. Hvis du ikke denne brukeren, ikke følger disse skiltene fordi de kan ødelegge hjemkomsten til systemet

Nå klikker "Ferdig"-Knappen.
Klikk på Green Light og OK ledeteksten.
Du vil bli bedt om å starte, klikk OK ved ledeteksten og PC bør omstart, hvis ikke, gjenstarte det selv.
En loggfilen fra Avenger vil bli produsert ved C: \ avenger.txt

The Avenger automatisk vil gjøre følgende:

Det vil Start maskinen på nytt. (I tilfeller hvor koden skal utføres inneholder "Drivers å laste"The Avenger faktisk vil starte systemet to ganger.)
På omstart, vil det raskt åpne en svart kommando vinduet på skrivebordet, er dette normalt.
Etter omstarten, det oppretter en loggfil som skulle åpne med resultatene av Avenger handlinger.

Denne loggfilen vil være på C: \ avenger.txt

The Avenger vil også ha sikkerhetskopi av alle filene, etc., som du ba den til å slette, Og vil ha zipped dem og flyttet zip arkivet til C: \ Avenger \ backup.zip.

Vær så snill fest den, det C: \ avenger.txt i ditt neste innlegg.

----------

Neste post
Avenger logg

**Psychaospath** · #9 21st 2008, 23:09

ok her u går fortsatt popups btw.

Logfile of The Avenger version 1, ved Swandog46
Kjører fra registernøkkel:
\ Registry \ Machine \ System \ CurrentControlSet \ Service s hptxmheu
*******************
Skriptfil finnes på: wqwsrviw
Kunne ikke åpne skriptfil! Feil
Kunne ikke åpne skriptfil! Status: 0xc000003b Abort!

**Psychaospath** · #10 21st 2008, 23:16

Oppsann meg dårlig i redid det, cuz loggen didnt se til høyre, og tilsynelatende i didnt gjøre noe riktig første gangen, heres den nye loggen. oh, og det er fortsatt popups.

Logfile of The Avenger version 1, ved Swandog46
Kjører fra registernøkkel:
\ Registry \ Machine \ System \ CurrentControlSet \ Service s mkawvjax
*******************
Skriptfil ligger på: \? \ C: \ WINDOWS \ system32 \ ygueewld.txt
Skriptfil åpnet vellykket.
Skriptfil lese vellykket
Backup katalogen åpnet vellykket på C: \ Avenger
*******************
Begynner å behandle skriptfil:
Mappen C: \ Temp \ tn3 slettet.
Filen C: \ WINDOWS \ system32 \ drivers \ core.cache.dsk slettet.
Registernøkkelen HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Active Setup \ Installed Components \ (2352721C-2267-DB51-0008-030706070804) slettet.
Completed script behandling.
*******************
Ferdig! Terminate.