Allvarliga Adware Problem

**Psychaospath** · #1 21 Januari 2008, 20:16

Jag har ett allvarligt problem. Ive fick någon form av adware på datorn. När Im surfa, eller bara har min webbläsare öppna ett popup kommer att dyka upp varje 2-3 minuter. Ive försökt använda AVG Anti-Virus, AVG Anti-Spyware, CounterSpy och Bazooka Scanner.

De hittade massor av saker jag har gjort oss av med dem alla, i skannad igen, allt borta. Med undantag för en hel del TrackingCookies, men det bör inte bidra till adware problem. Dessa är suppost sig vara det bästa program.

Några förslag på vad jag behöver använda eller vad jag ska göra?

**evilfantasy** · #2 21 Januari 2008, 20:34

Låt oss ta en närmare titt.

Ladda ner och byta namn HijackThis (HJT)

Dubbelklicka på HJTInstall.
Klicka på Installera knappen.
Det kommer automatiskt plats HJT i C: \ Program \ TrendMicro \ HijackThis \ HijackThis.exe.
Efter installation, HijackThis bör öppna för dig.
- Stäng HijackThis och döp om den.
- Gå till C: \ Program Files \ Trend Micro \HijackThis.exe
- Högerklicka på HijackThis.exe och välj Byt namn.
- Skriv in sniper.exe och tryck Ange.
- Högerklicka på sniper.exe och välj Skicka till > Desktop (Skapa genväg)
Från skrivbordet öppna HiajckThis.
Om du använder Windows Vista, se till att Kör som administratör
Klicka på Har en av datorn och spara en loggfil knappen
HijackThis kommer att skanna och sedan en logg kommer att öppna i Anteckningar.
Kopiera och klistra in loggen i ditt inlägg.
- Don't har HijackThis fixa något ännu. Det mesta av vad man anser kommer att vara ofarliga eller till och med krävs.

Även om vi har bytt namn HijackThis till prickskytt vi fortfarande kallar det för HijackThis eller HJT.

**Psychaospath** · #3 21 Januari 2008, 20:50

Loggfil av Trend Micro HijackThis v2.0.2
Scan sparades vid 10:50:07 PM om 1/21/2008
Plattform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal
Kör processer:
C: \ WINDOWS \ System32 \ Smss.exe
C: \ WINDOWS \ system32 \ Winlogon.exe
C: \ WINDOWS \ system32 \ services.exe
C: \ WINDOWS \ system32 \ Lsass.exe
C: \ WINDOWS \ system32 \ Ati2evxx.exe
C: \ WINDOWS \ system32 \ Svchost.exe
C: \ WINDOWS \ System32 \ Svchost.exe
C: \ WINDOWS \ system32 \ Svchost.exe
C: \ Program Files \ Lavasoft \ Ad-Aware 2007 \ aawservice.exe
C: \ WINDOWS \ system32 \ Ati2evxx.exe
C: \ WINDOWS \ Explorer.EXE
C: \ WINDOWS \ system32 \ Spoolsv.exe
C: \ WINDOWS \ SOUNDMAN.EXE
C: \ Program Files \ ATI Technologies \ ATI.ACE \ cli.exe
C: \ Program \ Java \ jre1.6.0_03 \ bin \ jusched.exe
C: \ Program Files \ iTunes \ iTunesHelper.exe
C: \ Program Files \ SlySoft \ CloneCD \ CloneCDTray.exe
C: \ progra ~ 1 \ Grisoft \ AVG7 \ avgcc.exe
C: \ Program Files \ Grisoft \ AVG Anti-Spyware 7.5 \ avgas.exe
C: \ WINDOWS \ system32 \ Ctfmon.exe
C: \ Program Files \ ÖVERDÄNGARE Tools \ daemon.exe
C: \ Program Files \ SUPERAntiSpyware \ SUPERAntiSpyware.exe
C: \ Program \ TRENDnet \ TRENDnet TEW-421PC_TEW-423PI \ WlanCU.exe
C: \ Program Files \ Common Files \ Apple \ Mobile Device Support \ bin \ AppleMobileDeviceService.exe
C: \ Program Files \ Grisoft \ AVG Anti-Spyware 7.5 \ guard.exe
C: \ progra ~ 1 \ Grisoft \ AVG7 \ avgamsvr.exe
C: \ progra ~ 1 \ Grisoft \ AVG7 \ avgupsvc.exe
C: \ progra ~ 1 \ Grisoft \ AVG7 \ avgemc.exe
C: \ Program Files \ iPod \ bin \ iPodService.exe
C: \ Program Files \ ATI Technologies \ ATI.ACE \ cli.exe
C: \ Program Files \ ATI Technologies \ ATI.ACE \ cli.exe
C: \ Program Files \ Internet Explorer \ iexplore.exe
C: \ Program Files \ Trend Micro \ HijackThis \ sniper.exe
R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://www.yahoo.com/
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Page_URL = http://www.yahoo.com/
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Search_URL = http://us.rd.yahoo.com/customize/ie/.../www.yahoo.com
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Search Bar = http://us.rd.yahoo.com/customize/ie/...ch/search.html
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Search Page = http://us.rd.yahoo.com/customize/ie/.../www.yahoo.com
R0 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://www.yahoo.com/
R0 - HKLM \ Software \ Microsoft \ Internet Explorer \ Search, CustomizeSearch =
R3 - URLSearchHook: Yahoo! Toolbar - (EF99BD32-C1FB-11D2-892F-0090271D4F88) - C: \ progra ~ 1 \ Yahoo! \ Companion \ installs \ CPN \ yt.dll
O2 - BHO: & Yahoo! Toolbar Helper - (02478D38-C3F9-4efb-9B51-7695ECA05670) - C: \ progra ~ 1 \ Yahoo! \ Companion \ installs \ CPN \ yt.dll
O2 - BHO: Yahoo! IE Services Button - (5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897) - C: \ Program \ Yahoo! \ Common \ yiesrvc.dll
O2 - BHO: SSVHelper Class - (761497BB-D6F0-462C-B6EB-D4DAF1D92D43) - C: \ Program \ Java \ jre1.6.0_03 \ bin \ ssv.dll (fil saknas)
O3 - Toolbar: Yahoo! Toolbar - (EF99BD32-C1FB-11D2-892F-0090271D4F88) - C: \ progra ~ 1 \ Yahoo! \ Companion \ installs \ CPN \ yt.dll
O4 - HKLM \ .. \ Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM \ .. \ Run: [ATICCC] "C: \ Program Files \ ATI Technologies \ ATI.ACE \ cli.exe" runtime-Delay
O4 - HKLM \ .. \ Run: [SunJavaUpdateSched] "C: \ Program \ Java \ jre1.6.0_03 \ bin \ jusched.exe"
O4 - HKLM \ .. \ Run: [iTunesHelper] "C: \ Program Files \ iTunes \ iTunesHelper.exe"
O4 - HKLM \ .. \ Run: [CloneCDTray] "C: \ Program Files \ SlySoft \ CloneCD \ CloneCDTray.exe" / s
O4 - HKLM \ .. \ Run: [AVG7_CC] C: \ progra ~ 1 \ Grisoft \ AVG7 \ avgcc.exe / STARTUP
O4 - HKLM \ .. \ Run: [! AVG Anti-Spyware] "C: \ Program Files \ Grisoft \ AVG Anti-Spyware 7.5 \ avgas.exe" / minimeras
O4 - HKLM \ .. \ Run: [LXCFCATS] rundll32 C: \ WINDOWS \ System32 \ spool \ DRIVERS \ W32X86 \ 3 \ LXCFtim e.dll, _RunDLLEntry @ 16
O4 - HKCU \ .. \ Run: [Ctfmon.exe] C: \ WINDOWS \ system32 \ Ctfmon.exe
O4 - HKCU \ .. \ Run: [ÖVERDÄNGARE Tools] "C: \ Program Files \ ÖVERDÄNGARE Tools \ daemon.exe"-lang 1033
O4 - HKCU \ .. \ Run: [Yahoo! Pager] "C: \ Program \ Yahoo! \ Messenger \ YahooMessenger.exe" tyst
O4 - HKCU \ .. \ Run: [SUPERAntiSpyware] C: \ Program Files \ SUPERAntiSpyware \ SUPERAntiSpyware.exe
O4 - HKUS \ S-1-5-19 \ .. \ Run: [AVG7_Run] C: \ progra ~ 1 \ Grisoft \ AVG7 \ avgw.exe / RunOnce (User 'LOCAL SERVICE')
O4 - HKUS \ S-1-5-20 \ .. \ Run: [AVG7_Run] C: \ progra ~ 1 \ Grisoft \ AVG7 \ avgw.exe / RunOnce (User 'NETWORK SERVICE')
O4 - HKUS \ S-1-5-18 \ .. \ Run: [AVG7_Run] C: \ progra ~ 1 \ Grisoft \ AVG7 \ avgw.exe / RunOnce (User "SYSTEM")
O4 - HKUS \. DEFAULT \ .. \ Run: [AVG7_Run] C: \ progra ~ 1 \ Grisoft \ AVG7 \ avgw.exe / RunOnce (User 'Default user')
O4 - Global Startup: Wireless Configuration Utility HW.15.lnk = C: \ Program \ TRENDnet \ TRENDnet TEW-421PC_TEW-423PI \ WlanCU.exe
Ø9 - Extra button: Yahoo! Services - (5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897) - C: \ Program \ Yahoo! \ Common \ yiesrvc.dll
Ø9 - Extra button: ShopperReports - Jämför produktpriser - (C5428486-50A0-4a02-9D20-520B59A9F9B2) - C: \ Program Files \ ShoppingReport \ Bin \ 2.0.26 \ ShoppingReport.dll (fil saknas)
Ø9 - Extra button: ShopperReports - Jämför resor priser - (C5428486-50A0-4a02-9D20-520B59A9F9B3) - C: \ Program Files \ ShoppingReport \ Bin \ 2.0.26 \ ShoppingReport.dll (fil saknas)
Ø9 - Extra button: Messenger - (FB5F1910-F110-11d2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe
Ø9 - Extra 'Tools' MENUITEM: Windows Messenger - (FB5F1910-F110-11d2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe
O16 - DPF: (05D44720-58E3-49E6-BDF6-D00330E511D3) (StagingUI Object) -- http://zone.msn.com/binFrameWork/v10...I.cab55579.cab
O16 - DPF: (30528230-99f7-4bb4-88d8-fa1d4f56a2ab) (Installation Support) - C: \ Program \ Yahoo! \ Common \ Yinsthelper.dll
O16 - DPF: (39B0684F-D7BF-4743-B050-FDC3F48F7E3B) -- http://www.fileplanet.com/fpdlmgr/ca..._2.3.6.108.cab
O16 - DPF: (3BB54395-5982-4788-8AF4-B5388FFDD0D8) (MSN Games - Buddy Invite) -- http://zone.msn.com/BinFrameWork/v10...y.cab55579.cab
O16 - DPF: (48DD0448-9209-4F81-9F6D-D83562940134) (MySpace Uploader Control) -- http://lads.myspace.com/upload/MySpaceUploader1005.cab
O16 - DPF: (5736C456-EA94-4AAC-BB08-917ABDD035B3) (ZonePAChat Object) -- http://zone.msn.com/binframework/v10...t.cab55579.cab
O16 - DPF: (67A5F8DC-1A4B-4D66-9F24-A704AD929EEE) (System Requirements Lab) -- http://www.systemrequirementslab.com/sysreqlab2.cab
O16 - DPF: (9BDF4724-10AA-43D5-BD15-AEA0D2287303) (MSN Games - Texas Holdem Poker) -- http://zone.msn.com/bingame/zpagames...e.cab60231.cab
O16 - DPF: (B8BE5E93-A60C-4D26-A2DC-220313175592) (MSN Games - Installer) -- http://cdn2.zone.msn.com/binFramewor...o.cab56649.cab
O16 - DPF: (DA2AA6CF-5C7A-4B71-BC3B-C771BB369937) (MSN Games - Game Communicator) -- http://zone.msn.com/binframework/v10...y.cab55579.cab
O20 - Winlogon Notify:! SASWinLogon - C: \ Program Files \ SUPERAntiSpyware \ SASWINLO.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C: \ Program Files \ Lavasoft \ Ad-Aware 2007 \ aawservice.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C: \ Program Files \ Common Files \ Apple \ Mobile Device Support \ bin \ AppleMobileDeviceService.exe
O23 - Service: Ati snabbtangent Poller - ATI Technologies Inc. - C: \ WINDOWS \ system32 \ Ati2evxx.exe
O23 - Service: ATI Smart - Unknown ägaren - C: \ WINDOWS \ system32 \ ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - Grisoft sro - C: \ Program \ Grisoft \ AVG Anti-Spyware 7.5 \ guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - Grisoft, sro - C: \ progra ~ 1 \ Grisoft \ AVG7 \ avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - Grisoft, sro - C: \ progra ~ 1 \ Grisoft \ AVG7 \ avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - Grisoft, sro - C: \ progra ~ 1 \ Grisoft \ AVG7 \ avgemc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C: \ Program Files \ Common Files \ InstallShield \ Driver \ 1150 \ Intel 32 \ IDriverT.exe
O23 - Service: iPod Service - Apple Inc. - C: \ Program Files \ iPod \ bin \ iPodService.exe
O23 - Service: lxcf_device - - C: \ WINDOWS \ system32 \ lxcfcoms.exe
--
End of file - 7993 bytes

**evilfantasy** · #4 21 Januari 2008, 20:59

Det visade inte mycket vi behöver göra några mer ingående söker.

Några tomma poster till rätta med HJT verkligt snabbt.

Öppna HijackThis och välj Gör ett system scan bara.

Placera en bock bredvid följande uppgifter:

Ø9 - Extra button: ShopperReports - Jämför produktpriser - (C5428486-50A0-4a02-9D20-520B59A9F9B2) - C: \ Program Files \ ShoppingReport \ Bin \ 2.0.26 \ ShoppingReport.dll (fil saknas)
Ø9 - Extra button: ShopperReports - Jämför resor priser - (C5428486-50A0-4a02-9D20-520B59A9F9B3) - C: \ Program Files \ ShoppingReport \ Bin \ 2.0.26 \ ShoppingReport.dll (fil saknas)

Stäng alla fönster förutom HijackThis och klicka Fix kontrolleras.

Avsluta HijackThis.

---------

Hämta CCleaner

Det föreslås att hämta CCleaner - Slim -- Nr Verktygsfält som är den version utan Yahoo! Verktygsfält.

Dubbelklicka på ccsetup.exe fil för att starta installationen av programmet.
Välj ditt språk och klicka på OKOch sedan nästa.
Läs licensavtalet och klicka på Jag accepterar.
Klicka nästa att använda standard installera plats.
Enligt Installera Val, välj alla standardinställningar
Klicka Installera sedan finish för att slutföra installationen.
Dubbelklicka på CCleaner genväg på skrivbordet för att starta programmet.
På "Windows" fliken under "Internet Explorer" avmarkera "Cookies" Om du inte vill att de raderas. (Om utgå kommer du sannolikt behöver ange ditt lösenord på alla platser där en cookie används för att känna igen dig när du besöker).
Om du antingen använda Firefox eller Mozilla webbläsare rutan att kryssa för "Cookies" är på fliken Program, enligt Firefox / Mozilla.
Klicka på "Alternativ"-ikonen på vänstra sidan av fönstret och klicka sedan på "Avancerad".
avmarkera "Bara att ta bort filer i Windows Temp-mappar är äldre än 48 timmar."
Klicka på "renare" på ikonen till vänster i fönstret, klicka på Kör Cleaner att köra programmet.
Varning: Endast använda "kansli" om du är väl förtrogen med registret, eftersom det har varit känt för att hitta legitima ex.
Alltid Säkerhetskopiera registret innan att göra några ändringar.
Efter CCleaner har slutfört processen klickar du Avsluta.

----------

Hämta SUPERAntiSpyware Free Edition (SAS)

Dubbelklicka på ikonen på skrivbordet för att köra installationsprogrammet.
När de ombads att Uppdatera programmet definitioner, klicka Ja
Nästa klicka på Inställningar knappen.
Klicka på Scanning Control tab.
Under Scanner Val se endast följande kontrolleras:
- Stäng webbläsare innan scanning
- Scan för tracking cookies
- Terminate minne hot innan karantän
- Lämna de andra unchecked.
- Klicka på knappen Stäng för att lämna kontrollcenter skärmen.
Klicka på Nära knappen för att lämna kontrollcenter skärmen.
På huvudskärmen klicka Skanna din dator
På vänster kontrollera C: \ Fixed Drive
Till höger väljer Utför Complete Scan
Klicka Nästa för att starta skanningen. Ha tålamod medan den skannar din dator.
När den är färdig, en sammanfattning visas. Klicka OK
Se allt i den vita rutan har kontroll bredvid den, klicka på Nästa
Det kommer karantän vad man hittat och om man frågar om du vill starta, klicka på Ja
För att hämta avlägsnande information gör du följande:
- Efter omstart, dubbelklicka på SUPERAntiSpyware ikon på skrivbordet.
- Klicka Inställningar. Klicka på Statistik / Logs tab.
- Enligt Scanner Logs Dubbelklicka på SUPERAntiSpyware Scan Logg.
- Den kommer att öppnas i din standard textredigerare (exempelvis Notepad / WordPad).
- Spara notepad fil på skrivbordet genom att klicka på (i notepad) Fil > Spara som...
Spara loggen någonstans att du enkelt kan hitta den. (normalt skrivbordet)
Klicka på Stäng och stäng igen för att avsluta programmet.
Kopiera och klistra in loggen i ditt inlägg.

----------

Nästa post lägg till
SUPERAntiSpyware log

**Psychaospath** · #5 21 Januari 2008, 22:20

ok jag äntligen fick det gjort, men .... popups fortfarande här, ändå Heres loggen:

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 01/22/2008 vid 00:10

Application Version: 3.9.1008

Core Rules Database Version: 3385
Trace Rules Database Version: 1379

Scan type: Complete Scan
Total Scan Time: 00:48:33

Memory ex skannade: 556
Memory hot upptäcks: 0
Registreringsenheten ex skannade: 4213
Registreringsenheten hot upptäcks: 0
Arkiv ex skannade: 39567
Arkiv hot upptäcktes: 8

Adware.Tracking Cookie
C: \ Documents and Settings \ Richard \ Cookies \ richard@login.revenueloop [2]. Txt
C: \ Documents and Settings \ Richard \ Cookies \ richard@publishers.clickb ooth [2]. Txt
C: \ Documents and Settings \ Richard \ Cookies \ richard @ DoubleClick [1]. Txt
C: \ Documents and Settings \ Richard \ Cookies \ richard@ads.pointroll [1]. Txt
C: \ Documents and Settings \ Richard \ Cookies \ richard @ bluestreak [1]. Txt
C: \ Documents and Settings \ Richard \ Cookies \ richard @ tribalfusion [2]. Txt
C: \ Documents and Settings \ Richard \ Cookies \ richard @ atdmt [2]. Txt

RootKit.TnCore / Trace
C: \ WINDOWS \ system32 \ drivers \ core.cache.dsk

**evilfantasy** · #6 21 Januari 2008, 22:23

Detta scan tar cirka 5 till 10 minuter.

Ladda ner Combofix av följande från en av nedanstående länkar.
(Prova alla tre vid behov)

VIKTIGT - Combofix.exe MÅSTE sparas dina Desktop.

Stäng alla öppna webbläsare. (Firefox, Internet Explorer, osv)
Stäng / avaktivera alla anti-virus och anti malware program så att de inte stör Combofix. <- VIKTIGT
- Klicka på denna länk vill se en lista över program som ska inaktiveras. Om du inte finns med och du vet inte hur man kan stänga av den, vänd.
Dubbelklicka combofix.exe & följ anvisningarna.
- Från tangentbordet väljer 1 och tryck Ange
När du är klar kommer det fram en logga åt dig.
Post att logga in din nästa replik.

Don't mouseclick combofix fönster medan den körs.
Den scan att tillfälligt inaktivera ditt skrivbord.
Om avbrytas får lämna datorn frysas.
Om detta inträffar ska du starta om för att återställa skrivbordet.

Nästa post
Combofix log

**Psychaospath** · #7 21 Januari 2008, 22:48

ok gjorde det. men ive fortfarande fick popups :-( Heres loggen:

ComboFix 08-01-21.3 - Richard 2008-01-22 0:30:28.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1033.18.628 [GMT -5:00]
Running from: C: \ Documents and Settings \ Richard \ Desktop \ ComboFix.exe
* Skapat en ny återställningspunkt
VARNING-Den här maskinen har inte Återställningskonsolen INSTALLERADE!
.
((((((((((((((((((((((((((((((((((((((( Andra Strykningar ))))))))) ))))))))))))))))))))))))))))))))))))))))
.
C: \ Temp \ tn3
C: \ WINDOWS \ system32 \ drivers \ core.cache.dsk. . . . underlåtit att ta bort
.
((((((((((((((((((((((((( Files Created från 2007-12-22 till 2008-01-22 ))))))))))) ))))))))))))))))))))
.
2008-01-22 00:36. 2008-01-22 00:36 167,545 --------- C: \ WINDOWS \ system32 \ drivers \ core.cache.dsk
2008-01-22 00:34. 2008-01-22 00:34 <DIR> d -------- C: \ Temp \ tn3
2008-01-22 00:29. 2000-08-31 08:00 51,200 - a ------ C: \ WINDOWS \ Nircmd.exe
2008-01-21 23:10. 2008-01-21 23:10 <DIR> d -------- C: \ Program Files \ CCleaner
2008-01-21 22:47. 2008-01-21 22:47 <DIR> d -------- C: \ Program Files \ Trend Micro
2008-01-21 22:21. 2008-01-22 00:16 <DIR> d -------- C: \ Program Files \ SUPERAntiSpyware
2008-01-21 02:10. 2008-01-21 02:10 <DIR> d -------- C: \ Program Files \ Lavasoft
2008-01-21 02:09. 2008-01-21 22:20 <DIR> d -------- C: \ Program Files \ Common Files \ Wise Installation Wizard
2008-01-20 22:04. 2008-01-20 22:04 <DIR> d -------- C: \ Program Files \ Bazooka Scanner
2008-01-20 17:41. 2007-05-30 07:10 10,872 - a ------ C: \ WINDOWS \ system32 \ drivers \ AvgAsCln.sys
2008-01-20 16:39. 2008-01-20 16:39 86.144 - a ------ C: \ WINDOWS \ system32 \ drivers \ ALCXWDMM.sys
2008-01-12 16:25. 2008-01-12 16:25 <DIR> d -------- C: \ Program Files \ Electronic Arts
2008-01-12 15:11. 2005-06-24 16:24 438.272-ra ------ C: \ WINDOWS \ system32 \ vp6vfw.dll
2008-01-12 15:11. 2004-12-10 09:06 327.680 - a ------ C: \ WINDOWS \ system32 \ vp6dec.ax
2008-01-12 15:06. 2008-01-12 15:20 <DIR> d - h ----- C: \ WINDOWS \ MSDOWNLD.TMP
2008-01-10 19:21. 2008-01-10 19:21 <DIR> d -------- C: \ Program Files \ uTorrent
2008-01-10 19:01. 2008-01-10 19:21 <DIR> d -------- C: \ Program Files \ megamaps
2008-01-08 22:43. 2008-01-10 19:30 <DIR> d -------- C: \ Program \ Guitar Pro 5
2008-01-06 05:19. 2008-01-06 05:19 <DIR> d -------- C: \ Program Files \ Power Tab Software
2008-01-03 22:31. 2008-01-03 22:31 <DIR> d -------- C: \ AeriaGames
2008-01-03 21:30. 2008-01-12 21:55 <DIR> d -------- C: \ UnrealTournament
2007-12-25 14:25. 2007-12-28 16:53 90 - a ------ C: \ WINDOWS \ RCAMPEG4VC.ini
2007-12-25 14:18. 2006-09-13 14:52 561.152 - a ------ C: \ WINDOWS \ system32 \ xvidcore.dll
2007-12-25 14:18. 2006-09-13 15:01 237.568 - en ------ C: \ WINDOWS \ system32 \ xvidvfw.dll
2007-12-25 14:18. 2005-12-30 15:34 2.864 - ett ------ C: \ WINDOWS \ system32 \ xvid.inf
2007-12-25 14:17. 2007-12-25 14:17 <DIR> d -------- C: \ Program Files \ RCA
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))) ))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-20 20:59 --------- d - h - w C: \ Program Files \ InstallShield Installation Information
2008-01-17 00:48 --------- d ----- w C: \ Program \ Yahoo!
2008-01-16 01:15 --------- d ----- w C: \ Program Files \ Lx_cats
2008-01-11 00:21 --------- d ----- w C: \ Program Files \ Xfire
2008-01-11 00:21 --------- d ----- w C: \ Program Files \ LimeWire
2007-12-22 10:47 --------- d ----- w C: \ Program Files \ DriftCity
2007-12-20 07:35 --------- d ----- w C: \ Program \ Sierra On-Line
2007-12-18 08:02 --------- d ----- w C: \ Program Files \ NHN USA
2007-12-17 21:17 --------- d ----- w C: \ Program \ Bethesda Softworks
2007-12-05 04:14 --------- d ----- w C: \ Program Files \ SlySoft
2007-12-03 03:06 --------- d ----- w C: \ Program \ TGTSoft
2007-11-25 18:18 --------- d ----- w C: \ Program Files \ Common Files \ Sonic Shared
2007-11-22 05:03 --------- d ----- w C: \ Program Files \ Cliprex DVD Player Professional
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))) ))))))))))))))))))))))))))))))))))))))))
.
.
* Not * tomma poster & legit default poster visas inte
REGEDIT4
[HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ Curre ntVersion \ Run]
"Ctfmon.exe" = "C: \ WINDOWS \ system32 \ Ctfmon.exe" [2004-08-04 07:00 15360]
"Demonen Tools" = "C: \ Program Files \ ÖVERDÄNGARE Tools \ daemon.exe" [2007-08-29 10:09 171464]
"Yahoo! Pager" = "C: \ Program \ Yahoo! \ Messenger \ YahooMessenger.exe" [2007-08-30 17:43 4670704]
"SUPERAntiSpyware" = "C: \ Program Files \ SUPERAntiSpyware \ SUPERAntiSpyware.exe" [2007-06-21 14:06 1318912]
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Curr entVersion \ Run]
"SoundMan" = "SOUNDMAN.EXE" [2006-11-16 16:42 577536 C: \ WINDOWS \ SOUNDMAN.EXE]
"ATICCC" = "C: \ Program Files \ ATI Technologies \ ATI.ACE \ cli.exe" [2005-08-12 13:43 45056]
"SunJavaUpdateSched" = "C: \ Program \ Java \ jre1.6.0_03 \ bin \ jusched.exe" [2007-09-25 01:11 132496]
"iTunesHelper" = "C: \ Program Files \ iTunes \ iTunesHelper.exe" [2007-09-26 13:42 267064]
"CloneCDTray" = "C: \ Program Files \ SlySoft \ CloneCD \ CloneCDTray.exe" [2006-09-28 14:21 57344]
"AVG7_CC" = "C: \ progra ~ 1 \ Grisoft \ AVG7 \ avgcc.exe" [2008-01-20 17:18 579072]
"! AVG Anti-Spyware" = "C: \ Program Files \ Grisoft \ AVG Anti-Spyware 7.5 \ avgas.exe" [2007-06-11 04:25 6731312]
"LXCFCATS" = "C: \ WINDOWS \ System32 \ spool \ DRIVERS \ W32X 86 \ 3 \ LXCFtime.dll" [2005-07-20 12:47 73728]
[HKEY_USERS \. DEFAULT \ Software \ Microsoft \ Windows \ Cur rentVersion \ Run]
"AVG7_Run" = "C: \ progra ~ 1 \ Grisoft \ AVG7 \ avgw.exe" [2008-01-20 17:18 219136]
C: \ Documents and Settings \ All Users \ Start-meny \ Program \ Autostart \
Wireless Configuration Utility HW.15.lnk - C: \ Program \ TRENDnet \ TRENDnet TEW-421PC_TEW-423PI \ WlanCU.exe [2007-01-30 13:57:42 577536]
[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ curre ntversion \ Policies \ System]
"DisableRegistryTools" = 0 (0x0)
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Curr entversion \ Explorer \ shellexecutehooks]
"(5AE067D3-9AFB-48E0-853A-EBB7F4A000DA)" = C: \ Program Files \ SUPERAntiSpyware \ SASSEH.DLL [2006-12-20 13:55 77824]
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon]
"UIHost" = "LogonUI.EXE"
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ anmäla \! SASWinLogon]
C: \ Program Files \ SUPERAntiSpyware \ SASWINLO.dll 2007-04-19 13:41 294912 C: \ Program Files \ SUPERAntiSpyware \ SASWINLO.dll
[HKLM \ ~ \ startupfolder \ C: ^ Documents and Settings ^ All Users ^ Start-meny ^ Program ^ Autostart ^ Sonic CinePlayer Quick Launch.lnk]
path = C: \ Documents and Settings \ All Users \ Start-meny \ Program \ Autostart \ Sonic CinePlayer Quick Launch.lnk
backup = C: \ WINDOWS \ PSS \ Sonic CinePlayer Quick Launch.lnkCommon uppstartsmeddelanden
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Shared Tools \ msconfig \ startupreg \ igndlm.exe]
C: \ Program Files \ Download Manager \ DLM.exe
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Shared Tools \ msconfig \ startupreg \ MSMSGS]
--------- 2004-10-13 11:24 1694208 C: \ Program Files \ Messenger \ msmsgs.exe
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Shared Tools \ msconfig \ startupreg \ QuickTime Task]
- a ------ 2007-06-29 05:24 286720 C: \ Program \ QuickTime \ qttask.exe
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Shared Tools \ msconfig \ startupreg \ SBCSTray]
C: \ Program Files \ Sunbelt Software \ CounterSpy \ SBCSTray.exe
R0 videX32; videX32, C: \ WINDOWS \ system32 \ drivers \ videX3 2.sys [2006-10-17 07:22]
R0 xfilt, VIA SATA IDE Hot-plug Driver; C: \ WINDOWS \ system32 \ drivers \ xfilt.sys [2006-10-18 04:39]
R1 ALCXWDMM; ALCXWDMM, C: \ WINDOWS \ system32 \ drivers \ ALCX WDMM.sys [2008-01-20 16:39]
R1 Cinemsup; Cinemsup, C: \ WINDOWS \ system32 \ drivers \ cine msup.sys [2002-07-19 09:10]
R3 odysseyIM3; Odyssey Network Services Miniport; C: \ WINDOWS \ system32 \ drivers \ odysseyIM3.sy s [2007-08-17 20:35]
S3 rtl8180, Realtek RTL8180 Wireless LAN (Mini-) PCI NIC NT Driver; C: \ WINDOWS \ system32 \ drivers \ RTL8180.SYS [2003-12-30 12:20]
S3 SetupNTGLM7X; SetupNTGLM7X, D: \ NTGLM7X.sys []
[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ curre ntversion \ Explorer \ mountpoints2 \ (5ed3c7c1-4bdf-11dc-8daa-806d6172696f)]
\ Shell \ AutoRun \ command - D: \ Autorun.exe

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Active Setup \ Installed Components \ (2352721C-2267-DB51-0008-030706070804)]
C: \ WINDOWS \ system32 \ vsc32.exe
.
************************************************** ************************
CatchMe 0.3.1344 W2K/XP/Vista - rootkit / stealth malware detector av Gmer, http://www.gmer.net
Rootkit scan 2008-01-22 00:37:48
Windows 5.1.2600 Service Pack 2 NTFS
scanning dolda processer ...
scanning dold autostart poster ...
scanning dolda filer ...
scan completed successfully
dolda filer: 0
************************************************** ************************
.
Slutförande temne: 2008-01-22 0:42:14 - maskinen startas
ComboFix-karantän-files.txt 2008-01-22 05:42:10
.
2008-01-11 00:38:07 --- EOF ---

**evilfantasy** · #8 21 Januari 2008, 22:57

Nu hämtar The Avenger Genom Swandog46Och spara den på skrivbordet.

Utdrag avenger.exe från zip-filen och spara den till skrivbordet
Kör avenger.exe genom att dubbelklicka på den.
Kontrollera Input script manuellt rutan.
Klicka på ikonen som kommer att öppna ett nytt fönster med titeln Visa / redigera manus
Kopiera allt i Codee rutan nedan och klistra in den i rutan som öppnas:

Kod:

Mappar för att ta bort: C: \ Temp \ tn3 Filer att ta bort: C: \ WINDOWS \ system32 \ drivers \ core.cache.dsk registernycklar för att ta bort: HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Active Setup \ Installed Components \ (2352721C-2267 - DB51-0008-030706070804)

Obs! Ovanstående citat har skapats speciellt för den här användaren. Om du inte är här, inte följer dessa anvisningar, eftersom de kan skada fungerar systemet

Nu klickar du på "Gjord"-Knappen.
Klicka på Green Light och OK prompten.
Du uppmanas att starta, klicka på OK vid prompten och datorn ska starta om, om inte, starta den själv.
En loggfil från Avenger kommer att produceras på C: \ avenger.txt

The Avenger automatiskt gör du följande:

Det kommer Starta om datorn. (I de fall där koden ska köras innehåller "Drivers att lasta", The Avenger faktiskt kommer att starta om datorn två gånger.)
Den startar om kommer det att kortfattat öppna ett svart kommandofönster på skrivbordet, detta är normalt.
Efter omstart, det skapar en loggfil som ska öppna med resultaten av Avenger åtgärder.

Denna loggfil kommer att placeras på C: \ avenger.txt

The Avenger kommer också att ha säkerhetskopierat alla filer osv, som du bett att raderaOch kommer att ha zippat dem och flyttade zip-arkiv till C: \ avenger \ backup.zip.

Snälla bifoga den C: \ avenger.txt i nästa inlägg.

----------

Nästa post
Avenger loggen

**Psychaospath** · #9 21 Januari 2008, 23:09

ok här u går fortfarande popups btw.

Loggfil The Avenger version 1, av Swandog46
Kör från registernyckel:
\ Registry \ Machine \ System \ CurrentControlSet \ Service s \ hptxmheu
*******************
Skriptfil beläget på wqwsrviw
Kunde inte öppna skriptfil! Fel
Kunde inte öppna skriptfil! Status: 0xc000003b Abort!

**Psychaospath** · #10 21 Januari 2008, 23:16

Oj mitt fel i redid det, cuz loggen didnt leta rätt, och uppenbarligen i didnt göra något rätt första gången, Heres den nya loggen. oh, och det finns fortfarande popups.

Loggfil The Avenger version 1, av Swandog46
Kör från registernyckel:
\ Registry \ Machine \ System \ CurrentControlSet \ Service s \ mkawvjax
*******************
Skriptfil beläget i: \? \ C: \ WINDOWS \ system32 \ ygueewld.txt
Skriptfil öppnas framgångsrikt.
Skriptfil läsa framgångsrikt
Säkerhetskopiering katalogen öppnas framgångsrikt på C: \ Avenger
*******************
Börjar att bearbeta skriptfil:
Mappen C: \ Temp \ tn3 raderades.
File C: \ WINDOWS \ system32 \ drivers \ core.cache.dsk raderades.
Registernyckeln HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Active Setup \ Installed Components \ (2352721C-2267-DB51-0008-030706070804) raderades.
Completed script bearbetning.
*******************
Färdiga! Terminate.

Liknande Trådar
Tråd	Thread Starter	Forum	Svar	Senaste Inlägg
Behöver du hjälp Ta bort Adware	ezong	Virus, spionprogram och säkerhet	8	15 juli 2009 13:15
Tribalfusion är det här någon form av adware	hopthwoks	Virus, spionprogram och säkerhet	2	2 februari 2009 01:37
Adware problem	Marcus123	Virus, spionprogram och säkerhet	3	30 januari 2008 11:11
Adware problem kan inte stoppa popups	Passat	Virus, spionprogram och säkerhet	8	23 januari 2008 21:42
Nid hjälp! ~ Jag kan inte ta bort denna adware / virus!	jomm43point67	Virus, spionprogram och säkerhet	10	16 januari 2008 08:38