Abnorm Skrevet 18. juli 2006 Skrevet 18. juli 2006 Pc-Cillin kommer noen ganger opp med et vindu... Hva betyr dette? Jeg har gjort noen søk, men finner ingenting. Detection Name forandrer seg fra gang til gang.
Thor. Skrevet 18. juli 2006 Skrevet 18. juli 2006 Filen ligger i "Midlertidige internet filer". Det betyr du har surfet på en side som har dette viruset. Noter siden og vær litt obs neste gang
berxter Skrevet 18. juli 2006 Skrevet 18. juli 2006 (endret) Tja, du kan jo kjøre ccleaner (google) som tømmer tempfila her for alskens rusk, og så legge ut en HijackThislogg til oss (du finner'n f eks hos www.merijn.org). Ellers har THor rett, og det er egentlig ikke noe problem.. Bernt K Endret 18. juli 2006 av berxter
Abnorm Skrevet 18. juli 2006 Forfatter Skrevet 18. juli 2006 Logfile of HijackThis v1.99.1 Scan saved at 01:42:05, on 19.07.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\SYSTEM32\SVCHOST.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\PROGRA~1\TRENDM~1\INTERN~1\PCCTLCOM.EXE C:\WINDOWS\system32\svchost.exe C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe C:\Programfiler\Raxco\PerfectDisk\PDSched.exe C:\PROGRA~1\TRENDM~1\INTERN~1\TMPFW.EXE C:\PROGRA~1\TRENDM~1\INTERN~1\PccGuide.exe C:\Programfiler\ATI Technologies\ATI.ACE\cli.exe C:\WINDOWS\RTHDCPL.EXE C:\Programfiler\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Programfiler\QuickTime\qttask.exe C:\WINDOWS\system32\ctfmon.exe C:\Programfiler\Messenger\msmsgs.exe C:\PROGRAMFILER\MSN MESSENGER\MSNMSGR.EXE D:\Popup Ad Filter\PopFilter.exe C:\Programfiler\ATI Technologies\ATI.ACE\CLI.exe C:\Programfiler\ATI Technologies\ATI.ACE\cli.exe C:\WINDOWS\System32\svchost.exe C:\PROGRAMFILER\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS\EXPLORER.EXE C:\Programfiler\Adobe\Acrobat 7.0\Reader\AcroRd32.exe C:\PROGRAMFILER\INTERNET EXPLORER\IEXPLORE.EXE C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe C:\Programfiler\Fellesfiler\Real\Update_OB\realsched.exe C:\PROGRAMFILER\INTERNET EXPLORER\IEXPLORE.EXE C:\DOCUME~1\FREDRI~1.JOH\LOKALE~1\Temp\Midlertidig mappe 2 for hijackthis[1].zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.no/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koblinger O4 - HKLM\..\Run: [ATICCC] "C:\Programfiler\ATI Technologies\ATI.ACE\cli.exe" runtime O4 - HKLM\..\Run: [pccguide.exe] "C:\Programfiler\Trend Micro\Internet Security 14\pccguide.exe" O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [WINCINEMAMGR] C:\Programfiler\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programfiler\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\RunOnce: [svg_file_op1] FileOps.exe -r "C:\Programfiler\Fellesfiler\Adobe\SVG Viewer 3.0\Uninstall" O4 - HKLM\..\RunOnce: [svg_file_op2] FileOps.exe -r "C:\Programfiler\Fellesfiler\Adobe\SVG Viewer 3.0\Uninstall\" O4 - HKLM\..\RunOnce: [svg_file_op3] FileOps.exe -r "C:\Programfiler\Fellesfiler\Adobe\SVG Viewer 3.0\" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programfiler\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [MsnMsgr] "C:\Programfiler\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [Popup Ad Filter] D:\Popup Ad Filter\PopFilter.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programfiler\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Catalyst System Tray.lnk = C:\Programfiler\ATI Technologies\ATI.ACE\CLI.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programfiler\InterVideo\Common\Bin\WinCinemaMgr.exe O8 - Extra context menu item: Allow Popups - D:\Popup Ad Filter\WhiteGetUrl.js O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe O16 - DPF: {00000000-0000-0000-0000-100005000004} - http://code.jcash.biz/l/10078ed0b090c98ded...73acb8e0_13.exe O16 - DPF: {2AF5BD25-90C5-4EEC-88C5-B44DC2905D8B} (DownloadManager Control) - http://dlmanager.akamaitools.com.edgesuite...vex-2.0.5.1.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1147975426750 O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} - http://yax-download.yazzle.net/YazzleActiveX.cab?refid=1123 O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programfiler\Fellesfiler\Microsoft Shared\Help\hxds.dll O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programfiler\Fellesfiler\Microsoft Shared\OFFICE12\MSOXMLMF.DLL O23 - Service: Adobe LM Service - Adobe Systems - C:\Programfiler\Fellesfiler\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programfiler\Fellesfiler\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programfiler\Raxco\PerfectDisk\PDEngine.exe O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programfiler\Raxco\PerfectDisk\PDSched.exe O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe
Abnorm Skrevet 18. juli 2006 Forfatter Skrevet 18. juli 2006 Kan også legge til at Ad-Aware SE Pro ikke finner noe.
Abnorm Skrevet 18. juli 2006 Forfatter Skrevet 18. juli 2006 Om det ikke er noe galt... Kommer dette vinduet opp bare som en advarsel da? (for sikkerheten skyld) Bra, men samtidig skjedelig... Den kommer ofte opp.
Spragleknas Skrevet 18. juli 2006 Skrevet 18. juli 2006 (endret) Browse deg fremn til filen og slett den. Scan med Ewido (google) Log ser ok ut.... mer her: http://fileinfo.prevx.com/adware/qq7abb275...OOLBAR.DLL.html Endret 18. juli 2006 av Okay
Thor. Skrevet 18. juli 2006 Skrevet 18. juli 2006 (endret) Om det ikke er noe galt... Kommer dette vinduet opp bare som en advarsel da? (for sikkerheten skyld) 6516449[/snapback] Den forteller at den aktuelle filen i temp mappen til explorer et virus, sletter fila før den sprer seg og alt er i orden. Endret 18. juli 2006 av Thor.
berxter Skrevet 19. juli 2006 Skrevet 19. juli 2006 (endret) Bruk ccleaner, den sletter alt i tempfolderne, og du får deg et lite sjokk når du ser hvor mange MB den sletter av rusk og rask. Loggen er ikke verst, men følgende må/bør bort: O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE (Denne bruker Realtek til å samle date om kundene; den er ikke farlig, men absolutt fjernbar.) O16 - DPF: {00000000-0000-0000-0000-100005000004} - http://code.jcash.biz/l/10078ed0b090c98ded...73acb8e0_13.exe O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} - http://yax-download.yazzle.net/YazzleActiveX.cab?refid=1123 Disse ActiveX-kontrollene ønsker du IKKE å ha. Jeg ville også alvorlig vurdert DLmanageren fra Akamai. Start HJT igjen, do a scan only, sett en hake ved disse; lukk alle nettleservinduer (dette også) og klikk "fix checked". Og så kan du jo tenke over om du trenger at så mange ting går, f eks alle ATIgreiene, realsched, qttask, Acrobat Reader, om det er nødvendig at Intervideo starter sammen med XP. Dette fikser du best med msconfig (start->run->msconfig->startup). Hvis du så i tillegg prøver en annen nettleser (f eks Opera) kan du fjerne Popupblockeren også.... Bernt K Endret 19. juli 2006 av berxter
Abnorm Skrevet 19. juli 2006 Forfatter Skrevet 19. juli 2006 Nå når du nevner ActiveX, vil jeg spøre: Hva er dette? Noen ganger kommer denne opp, og jeg blir bedt om å installere.
Abnorm Skrevet 19. juli 2006 Forfatter Skrevet 19. juli 2006 (endret) Fått en ny beskjed av samme type som over. Men denne gang står det: Incident name: C:\WINDOWS\system32\ssqpm.dll Detection name: TROJ_VUNDO.BE Får ikke slette denne. Får beskjed om denne er i bruk av et annet program. Endret 19. juli 2006 av frecjoha
Spragleknas Skrevet 19. juli 2006 Skrevet 19. juli 2006 Skru av system gjennoppreting. (Høyreklikk "Min datamaskin" -> egenskaper -> etc.)
Thor. Skrevet 19. juli 2006 Skrevet 19. juli 2006 frecjoha: Jeg tror du "faller over" endel tvilsomme sider. Da anbefaler jeg deg en annen nettleser som er mindre utsatt for virus og spyware. Du kan da laste ned Opera 9 eller Firefox 1.5 som er gode alternativer
berxter Skrevet 19. juli 2006 Skrevet 19. juli 2006 (endret) ActiveX: http://www.webopedia.com/TERM/A/ActiveX_control.html For å fjerne C:\WINDOWS\system32\ssqpm.dll, laster du ned Kilbox (google) og limer inn banen; delete on reboot, reboot. For å fjerne en Vundoinfeksjon bruker du Vundofix: http://www.softpedia.com/get/Antivirus/VundoFix.shtml, men jeg antar at Pccillin har stoppet den før det kom så langt. Ny HJTlogg, takk. OKAY: Hvordan mener du at å skru av systemgjenoppretting skulle ha det minste innvirkning på %windir%\system32-folderen? Jeg er jo enig i at en bør tømme system_restore en gang i blant; start->control panel->system->system restore-> turn off system restore on all drives; reboot, slå den på igjen etter en infeksjon. Bernt K Endret 19. juli 2006 av berxter
Spragleknas Skrevet 19. juli 2006 Skrevet 19. juli 2006 Så ikke så nøye etter... ... det er uansett en god vane å skru av Sys. Res. ved scanning - infeksjoner som finnes der er "hellige" så lenge sys.res er på.
berxter Skrevet 19. juli 2006 Skrevet 19. juli 2006 Enig der, så lenge du venter til at systemet er reint. Det er alltid greit å ha et restorepunkt, selv om det er fullt av dritt, i tilfelle du skulle greid å herpe operativsystemet totalt under virusfjerning e. l. . Jeg vet at Symantec f eks anbefaler å slå av restore først, men jeg er uenig.... Bernt K
Spragleknas Skrevet 19. juli 2006 Skrevet 19. juli 2006 Vel, det er ikke alltid man får fjernet viruset etc uten å skru av s.r. - flere enn Sym.. som anbefaler det. Trådstarter: Har selv lekt litt med Spyware Terminator (gratis) som har AV integrert (Clam Win) - anbefaler at du prøver dette!
berxter Skrevet 19. juli 2006 Skrevet 19. juli 2006 (endret) Vel; det får bli deres sak, det er en del folk på min side også Pccillin i nyere versjoner har også en fullverdig AntiSpywaredel, og det er antagelig viktigere for trådstarter å disiplinere seg mht nettsteder der ingen skulle trø enn å prøve alternativer til ett av de aller beste AVprogrammene som eksisterer. Lengre opp i tråden anbefalte du Ewido, og den anbefalingen støtter ihvertfall jeg 100% opp om. Dersom den kjøres i safe mode tar den uhorvelige mengder svineri. Bernt K Endret 19. juli 2006 av berxter
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå