Spywarefri Forum | Google-virus/hijack

1 af 2

Google-virus/hijack

[ Ignorer ] lonejoh
17.03.2010 03:46:22 Antal indlæg: 12	Noget snavs har overtaget min Google, hver gang jeg søger i Google og klikker et link, lyder der et dobbeltklik. Kan også ses ved en tynd blå streg under menuen. Det tager over 15 min. at åbne noget som helst efter reboot, det er som den er gået i stå. Jeg kan se, at der i min malwarebytes ligger en fil i karantæne, der hedder “Rogue Installer” (men undrer mig over datoen 15-06-09… Har altid haft malware installeret) Her mine logs: Malwarebytes’ Anti-Malware 1.44 Database version: 3510 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 17-03-2010 01:50:40 mbam-log-2010-03-17 (01-50-40).txt Skan type: Fuldstændig skanning (C:\\|) Objekter skannet: 286109 Tid tilbagelagt: 2 hour(s), 36 minute(s), 37 second(s) Inficerede Hukommelses Processer: 0 Inficerede Hukommelses Moduler: 0 Inficerede Registeringsdatabase Nøgler: 0 Inficerede Registeringsdatabase Værdier: 0 Inficerede Registeringsdatabase Filer: 0 Inficerede Mapper: 0 Inficerede Filer: 0 Inficerede Hukommelses Processer: (Ingen mistænkelige filer fundet) Inficerede Hukommelses Moduler: (Ingen mistænkelige filer fundet) Inficerede Registeringsdatabase Nøgler: (Ingen mistænkelige filer fundet) Inficerede Registeringsdatabase Værdier: (Ingen mistænkelige filer fundet) Inficerede Registeringsdatabase Filer: (Ingen mistænkelige filer fundet) Inficerede Mapper: (Ingen mistænkelige filer fundet) Inficerede Filer: (Ingen mistænkelige filer fundet) /////////////////////////// DDS (Ver_09-12-01.01) - NTFSx86 Run by x at 2:29:37,54 on 17-03-2010 Internet Explorer: 8.0.6001.18702 BrowserJavaVersion: 1.6.0_15 Microsoft Windows XP Professional 5.1.2600.3.1252.1.1033.18.1022.475 [GMT 1:00] AV: Trend Micro OfficeScan Antivirus On-access scanning enabled (Updated) {9067C3E5-2C29-4189-A520-698CA421275B} AV: Microsoft Security Essentials On-access scanning enabled (Updated) {BCF43643-A118-4432-AEDE-D861FCBCFCDF} ============== Running Processes =============== C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost -k DcomLaunch svchost.exe c:\Program Files\Microsoft Security Essentials\MsMpEng.exe C:\WINDOWS\System32\svchost.exe -k netsvcs svchost.exe svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE svchost.exe C:\Program Files\Bonjour\mDNSResponder.exe C:\Program Files\Java\jre6\bin\jqs.exe C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe C:\Program Files\Analog Devices\Core\smax4pnp.exe C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe C:\Program Files\Java\jre6\bin\jusched.exe C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe C:\Program Files\Microsoft Security Essentials\msseces.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Windows Live\Messenger\msnmsgr.exe C:\Program Files\Windows Live\Contacts\wlcomm.exe C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe C:\Program Files\Trend Micro\OfficeScan Client\CNTAoSMgr.exe C:\WINDOWS\TEMP\IC8F6B.EXE C:\Program Files\Java\jre6\bin\jucheck.exe C:\Documents and Settings\x\Desktop\vira\dds.scr ============== Pseudo HJT Report =============== uStart Page = about:blank uInternet Connection Wizard,ShellNext = iexplore BHO: Adobe PDF Reader Link Helper: {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - c:\program files\common files\adobe\acrobat\activex\AcroIEHelper.dll BHO: Groove GFS Browser Helper: {72853161-30c5-4d22-b7f9-0bbc1d38a37e} - c:\program files\microsoft office\office12\GrooveShellExtensions.dll BHO: Hjælp til tilmelding til Windows Live: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\program files\common files\microsoft shared\windows live\WindowsLiveLogin.dll BHO: Adobe PDF Conversion Toolbar Helper: {ae7cd045-e861-484f-8273-0445ee161910} - c:\program files\adobe\acrobat 8.0\acrobat\AcroIEFavClient.dll BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program files\java\jre6\bin\jp2ssv.dll BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\program files\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll TB: Adobe PDF: {47833539-d0c5-4125-9fa8-0819e2eaac93} - c:\program files\adobe\acrobat 8.0\acrobat\AcroIEFavClient.dll EB: Adobe PDF: {182ec0be-5110-49c8-a062-beb1d02a220b} - c:\program files\adobe\acrobat 8.0\acrobat\AcroIEFavClient.dll uRun: [CTFMON.EXE] c:\windows\system32\ctfmon.exe uRun: [msnmsgr] “c:\program files\windows live\messenger\msnmsgr.exe” /background mRun: [<NO NAME>] mRun: [Adobe_ID0EYTHM] c:\progra~1\common~1\adobe\adobev~1\server\bin\VERSIO~2.EXE mRun: [GrooveMonitor] “c:\program files\microsoft office\office12\GrooveMonitor.exe” mRun: [SoundMAXPnP] c:\program files\analog devices\core\smax4pnp.exe mRun: [OfficeScanNT Monitor] “c:\program files\trend micro\officescan client\pccntmon.exe” -HideWindow mRun: [SunJavaUpdateSched] “c:\program files\java\jre6\bin\jusched.exe” mRun: [Acrobat Assistant 8.0] “c:\program files\adobe\acrobat 8.0\acrobat\Acrotray.exe” mRun: [MSSE] “c:\program files\microsoft security essentials\msseces.exe” -hide -runkey dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE StartupFolder: c:\docume~1\x\startm~1\programs\startup\onenot~1.lnk - c:\program files\microsoft office\office12\ONENOTEM.EXE StartupFolder: c:\docume~1\alluse~1\startm~1\programs\startup\adobea~2.lnk - c:\windows\installer\{ac76ba86-1033-0000-7760-000000000003}\_SC_Acrobat.exe StartupFolder: c:\docume~1\alluse~1\startm~1\programs\startup\adobea~1.lnk - c:\program files\adobe\acrobat 8.0\acrobat\AdobeCollabSync.exe IE: Append to existing PDF - c:\program files\adobe\acrobat 8.0\acrobat\AcroIEFavClient.dll/AcroIEAppend.html IE: Convert link target to Adobe PDF - c:\program files\adobe\acrobat 8.0\acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: Convert link target to existing PDF - c:\program files\adobe\acrobat 8.0\acrobat\AcroIEFavClient.dll/AcroIEAppend.html IE: Convert selected links to Adobe PDF - c:\program files\adobe\acrobat 8.0\acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html IE: Convert selected links to existing PDF - c:\program files\adobe\acrobat 8.0\acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html IE: Convert selection to Adobe PDF - c:\program files\adobe\acrobat 8.0\acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: Convert selection to existing PDF - c:\program files\adobe\acrobat 8.0\acrobat\AcroIEFavClient.dll/AcroIEAppend.html IE: Convert to Adobe PDF - c:\program files\adobe\acrobat 8.0\acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: E&xport; to Microsoft Excel - c:\progra~1\micros~2\office12\EXCEL.EXE/3000 IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\program files\messenger\msmsgs.exe IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C} - c:\progra~1\micros~2\office12\ONBttnIE.dll IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\progra~1\micros~2\office12\REFIEBAR.DLL DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} - hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1239919813593 DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} - hxxp://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab DPF: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} - hxxps://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab DPF: {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} - hxxps://simcorp.webex.com/client/T26L/support/ieatgpc.cab Handler: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - c:\program files\microsoft office\office12\GrooveSystemServices.dll Notify: AtiExtEvent - Ati2evxx.dll SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll SEH: Groove GFS Stub Execution Hook: {b5a7f190-dda6-4420-b3ba-52453494e6cd} - c:\program files\microsoft office\office12\GrooveShellExtensions.dll ================= FIREFOX =================== FF - ProfilePath - c:\docume~1\x\applic~1\mozilla\firefox\profiles\28gmmbg5.default\ FF - plugin: c:\program files\microsoft\office live\npOLW.dll FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\microsoft.net\framework\v3.5\windows presentation foundation\dotnetassistantextension\ FF - HiddenExtension: Java Console: No Registry Reference - c:\program files\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} ——FIREFOX POLICIES—— c:\program files\mozilla firefox\greprefs\security-prefs.js - pref(“security.ssl3.rsa_seed_sha”, true); c:\program files\mozilla firefox\defaults\pref\firefox-l10n.js - pref(“browser.fixup.alternate.suffix”, “.dk”); ============= SERVICES / DRIVERS =============== R1 MpFilter;Microsoft Malware Protection Driver;c:\windows\system32\drivers\MpFilter.sys [2009-6-18 149040] R2 TmFilter;Trend Micro Filter;c:\program files\trend micro\officescan client\TmXpflt.sys [2008-11-26 225808] R2 TmPreFilter;Trend Micro PreFilter;c:\program files\trend micro\officescan client\TmPreflt.sys [2008-11-26 36368] S3 TmProxy;OfficeScan NT Proxy Service;c:\program files\trend micro\officescan client\TmProxy.exe [2008-8-22 652552] =============== Created Last 30 ================ 2010-03-17 00:54:40 696832 ——a-w- c:\windows\isRS-000.tmp 2010-03-13 12:07:06 0 d——-w- c:\windows\system32\appmgmt 2010-03-10 22:09:01 3558912 -c——w- c:\windows\system32\dllcache\moviemk.exe ==================== Find3M ==================== 2010-02-24 09:16:06 181632 ———w- c:\windows\system32\MpSigStub.exe 2010-02-10 14:30:57 161296 ——a-w- c:\windows\system32\drivers\tmcomm.sys 2010-01-18 03:55:21 92892 ——a-w- c:\windows\fonts\MxSbTf_.ttf 2009-12-21 19:14:05 916480 ——a-w- c:\windows\system32\wininet.dll 2009-01-15 18:02:46 117118745 ——a-w- c:\program files\openofficeorg1.cab 2009-01-15 17:58:48 1821008 ——a-w- c:\program files\instmsiw.exe 2009-01-15 17:58:48 1707856 ——a-w- c:\program files\instmsia.exe 2009-01-15 17:58:46 9297920 ——a-w- c:\program files\openofficeorg30.msi 2009-01-15 17:58:46 336 ——a-w- c:\program files\setup.ini ============= FINISH: 2:30:09,12 =============== Mvh Lone
[ Ignorer ] [ # 1 ] Magic Emeritus
17.03.2010 05:09:54 Administrator Supporter Emeritus Antal indlæg: 29177	Hej og velkommen Opdater malwarebyte, kør en komplet scan og lad den fixe hvad den finder. Send så loggen herind, sammen med en combofix log -> Hent Combofix, og gem den på dit skrivebord, som alg.exe: ComboFix Luk alle andre vinduer ned. Kør så combofix.exe, og følg anvisningerne. Du må ikke klikke på vinduet imens værktøjet kører, idet det kan få din computer til at fryse. Når Combofix er færdig, og efter det (muligvis) har genstartet, skulle der gerne åbnes en logfil: combofix.txt som ligger her C: Combofix txt Indholdet af denne fil må du gerne lægge herind NB. Før du sender logfilerne, beder vi dig om at fjerne enhvert P2P/fildelings program, hvis du har nogen, og dette inkluderer Torrent software, før vi renser computeren.
[ Ignorer ] [ # 2 ] lonejoh
17.03.2010 15:15:01 Antal indlæg: 12	Jeg har først tid til at kører endnu en malwarescan i nat med levering i morgen på denne tid (problemet er flere uger gammelt!). Jeg har kørt en combofix, siger den noget om snavs? ComboFix 10-03-16.05 - x 17-03-2010 13:55:38.1.2 - x86 Microsoft Windows XP Professional 5.1.2600.3.1252.1.1033.18.1022.593 [GMT 1:00] Running from: c:\documents and settings\x\Desktop\vira\ComboFix.exe AV: Trend Micro OfficeScan Antivirus On-access scanning enabled (Updated) {9067C3E5-2C29-4189-A520-698CA421275B} . ((((((((((((((((((((((((( Files Created from 2010-02-17 to 2010-03-17 ))))))))))))))))))))))))))))))) . 2010-03-17 00:54 . 2010-03-17 00:54 5115823 ——a-w- c:\documents and settings\All Users\Application Data\Malwarebytes\Malwarebytes’ Anti-Malware\mbam-setup.exe 2010-03-11 03:10 . 2010-03-11 03:10 76240 ——a-w- c:\documents and settings\NetworkService\Local Settings\Application Data\GDIPFONTCACHEV1.DAT 2010-03-10 22:09 . 2009-10-23 15:28 3558912 -c——w- c:\windows\system32\dllcache\moviemk.exe . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-03-17 00:56 . 2009-06-14 23:14 ———— d——-w- c:\program files\Malwarebytes’ Anti-Malware 2010-03-17 00:54 . 2010-03-17 00:54 696832 ——a-w- c:\windows\isRS-000.tmp 2010-03-13 12:05 . 2009-05-03 19:10 ———— d——-w- c:\program files\OpenOffice.org 3 2010-03-13 11:59 . 2009-12-04 14:42 ———— d——-w- c:\program files\MadTracker 2010-03-11 03:12 . 2009-04-13 17:51 ———— d——-w- c:\documents and settings\All Users\Application Data\Microsoft Help 2010-02-24 09:16 . 2010-02-10 14:51 181632 ———w- c:\windows\system32\MpSigStub.exe 2010-02-10 14:30 . 2009-04-17 12:20 161296 ——a-w- c:\windows\system32\drivers\tmcomm.sys 2010-02-10 13:41 . 2010-02-10 13:41 388096 ——a-r- c:\documents and settings\x\Application Data\Microsoft\Installer\{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}\HiJackThis.exe 2010-02-10 13:41 . 2010-02-10 13:41 ———— d——-w- c:\program files\TrendMicro 2010-01-22 01:44 . 2010-01-22 01:44 ———— d——-w- c:\documents and settings\x\Application Data\Artisteer 2010-01-22 01:42 . 2010-01-22 01:42 ———— d——-w- c:\program files\Artisteer 2 2010-01-20 11:02 . 2009-04-16 22:57 ———— d——-w- c:\program files\Microsoft Silverlight 2010-01-18 20:14 . 2009-04-13 18:46 76240 ——a-w- c:\documents and settings\x\Local Settings\Application Data\GDIPFONTCACHEV1.DAT 2010-01-07 15:07 . 2009-06-14 23:14 38224 ——a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-01-07 15:07 . 2009-06-14 23:14 19160 ——a-w- c:\windows\system32\drivers\mbam.sys 2009-12-31 16:50 . 2004-08-04 12:00 353792 ——a-w- c:\windows\system32\drivers\srv.sys 2009-12-21 19:14 . 2004-08-04 12:00 916480 ——a-w- c:\windows\system32\wininet.dll 2009-01-15 18:02 . 2009-01-15 18:02 117118745 ——a-w- c:\program files\openofficeorg1.cab 2009-01-15 17:58 . 2009-01-15 17:58 1821008 ——a-w- c:\program files\instmsiw.exe 2009-01-15 17:58 . 2009-01-15 17:58 1707856 ——a-w- c:\program files\instmsia.exe 2009-01-15 17:58 . 2009-01-15 17:58 9297920 ——a-w- c:\program files\openofficeorg30.msi 2009-01-15 17:58 . 2009-01-15 17:58 336 ——a-w- c:\program files\setup.ini . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . Note empty entries & legit default entries are not shown REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “msnmsgr”=“c:\program files\Windows Live\Messenger\msnmsgr.exe” [2009-07-26 3883856] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “GrooveMonitor”=“c:\program files\Microsoft Office\Office12\GrooveMonitor.exe” [2008-10-25 31072] “SoundMAXPnP”=“c:\program files\Analog Devices\Core\smax4pnp.exe” [2004-10-14 1404928] “OfficeScanNT Monitor”=“c:\program files\Trend Micro\OfficeScan Client\pccntmon.exe” [2008-08-22 714024] “SunJavaUpdateSched”=“c:\program files\Java\jre6\bin\jusched.exe” [2009-07-25 149280] “Acrobat Assistant 8.0”=“c:\program files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe” [2006-10-22 620152] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] “CTFMON.EXE”=“c:\windows\system32\CTFMON.EXE” [2008-04-14 15360] c:\documents and settings\x\Start Menu\Programs\Startup\ OneNote 2007 Screen Clipper and Launcher.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2008-10-25 98696] c:\documents and settings\All Users\Start Menu\Programs\Startup\ Adobe Acrobat Speed Launcher.lnk - c:\windows\Installer\{AC76BA86-1033-0000-7760-000000000003}\_SC_Acrobat.exe [2009-4-13 295606] Adobe Acrobat Synchronizer.lnk - c:\program files\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe [2006-10-22 734872] [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendAntiVirus] “DisableMonitoring”=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] “%windir%\\system32\\sessmgr.exe”= “c:\\Program Files\\Bonjour\\mDNSResponder.exe”= “c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE”= “c:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE”= “c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE”= “c:\\Program Files\\Messenger\\msmsgs.exe”= “%windir%\\Network Diagnostic\\xpnetdiag.exe”= “c:\\Program Files\\Common Files\\Adobe\\Adobe Version Cue CS3\\Server\\bin\\VersionCueCS3.exe”= “c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe”= “c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe”= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] “3703:TCP”= 3703:TCP::Disabled:Adobe Version Cue CS3 Server “3704:TCP”= 3704:TCP::Disabled:Adobe Version Cue CS3 Server “50900:TCP”= 50900:TCP::Disabled:Adobe Version Cue CS3 Server “50901:TCP”= 50901:TCP::Disabled:Adobe Version Cue CS3 Server “58943:TCP”= 58943:TCP:Trend Micro OfficeScan Listener R2 TmFilter;Trend Micro Filter;c:\program files\Trend Micro\OfficeScan Client\TmXpflt.sys [26-11-2008 16:42 225808] R2 TmPreFilter;Trend Micro PreFilter;c:\program files\Trend Micro\OfficeScan Client\TmPreflt.sys [26-11-2008 16:42 36368] S3 TmProxy;OfficeScan NT Proxy Service;c:\program files\Trend Micro\OfficeScan Client\TmProxy.exe [22-08-2008 07:42 652552] . Contents of the ‘Scheduled Tasks’ folder 2010-03-17 c:\windows\Tasks\OGALogon.job - c:\windows\system32\OGAEXEC.exe [2009-08-03 13:07] . . ———- Supplementary Scan———- . uStart Page = about:blank uInternet Connection Wizard,ShellNext = iexplore IE: Append to existing PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html IE: Convert link target to Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: Convert link target to existing PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html IE: Convert selected links to Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html IE: Convert selected links to existing PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html IE: Convert selection to Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: Convert selection to existing PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html IE: Convert to Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: E&xport; to Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} - hxxps://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab FF - ProfilePath - c:\documents and settings\x\Application Data\Mozilla\Firefox\Profiles\28gmmbg5.default\ FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ ——FIREFOX POLICIES—— c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref(“browser.fixup.alternate.suffix”, “.dk”); . ************************************************************************ catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2010-03-17 14:04 Windows 5.1.2600 Service Pack 3 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************ . ——————————- DLLs Loaded Under Running Processes——————————- - - - - - - - > ‘winlogon.exe’(664) c:\windows\system32\Ati2evxx.dll - - - - - - - > ‘explorer.exe’(1984) c:\windows\system32\WININET.dll c:\windows\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.3053_x-ww_b80fa8ca\MSVCR80.dll c:\windows\system32\ieframe.dll c:\windows\system32\webcheck.dll c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . Completion time: 2010-03-17 14:07:03 ComboFix-quarantined-files.txt 2010-03-17 13:06 Pre-Run: 1.590.702.080 bytes free Post-Run: 4.929.667.072 bytes free WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT=“Microsoft Windows Recovery Console” /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS=“Microsoft Windows XP Professional” /noexecute=optin /fastdetect - - End Of File - - EA104FE5E2B3CCA173916AC483D1B271
[ Ignorer ] [ # 3 ] Fromsej TeamSpywarefri
17.03.2010 19:43:58 Administrator Team Spywarefri Antal indlæg: 54701	Der er ikke noget i Combofixloggen. Signatur Member of “Alliance of Security Analysis Professionals” - Alle angaben wie immer “nur mit pistole” Græd du også over eventyret om smedens kat, da du var lille? http://www.spywarefri.dk/medarbejderne/ Nierne bomaye - You’ll never walk alone qui potest, obligatur
[ Ignorer ] [ # 4 ] lonejoh
18.03.2010 12:43:12 Antal indlæg: 12	Malwarebytes’ Anti-Malware 1.44 Database version: 3878 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 18-03-2010 11:38:02 mbam-log-2010-03-18 (11-38-02).txt Skan type: Fuldstændig skanning (C:\\|) Objekter skannet: 309277 Tid tilbagelagt: 1 hour(s), 39 minute(s), 4 second(s) Inficerede Hukommelses Processer: 0 Inficerede Hukommelses Moduler: 0 Inficerede Registeringsdatabase Nøgler: 0 Inficerede Registeringsdatabase Værdier: 0 Inficerede Registeringsdatabase Filer: 0 Inficerede Mapper: 0 Inficerede Filer: 0 Inficerede Hukommelses Processer: (Ingen mistænkelige filer fundet) Inficerede Hukommelses Moduler: (Ingen mistænkelige filer fundet) Inficerede Registeringsdatabase Nøgler: (Ingen mistænkelige filer fundet) Inficerede Registeringsdatabase Værdier: (Ingen mistænkelige filer fundet) Inficerede Registeringsdatabase Filer: (Ingen mistænkelige filer fundet) Inficerede Mapper: (Ingen mistænkelige filer fundet) Inficerede Filer: (Ingen mistænkelige filer fundet)
[ Ignorer ] [ # 5 ] Magic Emeritus
18.03.2010 14:35:39 Administrator Supporter Emeritus Antal indlæg: 29177	Der er heller ikke noget. Hvordan kører tingene nu ?
[ Ignorer ] [ # 6 ] lonejoh
19.03.2010 16:16:55 Antal indlæg: 12	Det er stadig det samme. Dobbeltklik via Google og ualmindelig langsom opstart.
[ Ignorer ] [ # 7 ] lonejoh
19.03.2010 16:18:25 Antal indlæg: 12	Kunne man forestille sig, at installere en ny IE, eller bør den gamle først afinstalleres? Men det hjælper nok ikke en dyt er det noget rigtig grimt.
[ Ignorer ] [ # 8 ] Fromsej TeamSpywarefri
19.03.2010 18:59:57 Administrator Team Spywarefri Antal indlæg: 54701	Har du Spywareblaster, Spywareguard, IE-spyad(zoned-out) installeret? Signatur Member of “Alliance of Security Analysis Professionals” - Alle angaben wie immer “nur mit pistole” Græd du også over eventyret om smedens kat, da du var lille? http://www.spywarefri.dk/medarbejderne/ Nierne bomaye - You’ll never walk alone qui potest, obligatur
[ Ignorer ] [ # 9 ] lonejoh
20.03.2010 00:02:30 Antal indlæg: 12	Nej, jeg har Malwarebytes, HiJackthis, RootkitBuster, DDS, TrendMicro OfficeScan og jeg tror også jeg har licens til det svenske adaware et og andet sted. Dobbeltklikket kom umiddelbart efter at have besøgt et .com-site.
[ Ignorer ] [ # 10 ] lonejoh
20.03.2010 00:17:54 Antal indlæg: 12	Har nu installeret SpywareBlaster, fortsat dobbeltklik.
[ Ignorer ] [ # 11 ] Magic Emeritus
20.03.2010 05:46:32 Administrator Supporter Emeritus Antal indlæg: 29177	Deaktiver dit antivirus-program kør en online scanning med ESET Online Scanner: http://www.eset.com/onlinescan/ Acceptere betingelserne for brug, og klik på Start. Efter ActiveX Control har indlæst, vil det tage et par minutter for scanneren til at blive klar. Dernæst skal du sætte flueben i følgende felter: Remove found threats Scan unwanted applications Klik på Start. Denne scanning kan tage et stykke tid, så vær tålmodig. En log vil åbne, når scanningen er færdig. (hvis ikke, skal du gå til C: \ Programmer \ EsetOnlineScanner \ og åbne filen Log.txt). Kopier den herind i næste svar
[ Ignorer ] [ # 12 ] Fromsej TeamSpywarefri
20.03.2010 10:30:38 Administrator Team Spywarefri Antal indlæg: 54701	Du skulle ikke installere Spywareblaster, eller nogen af de andre, det var for at lede efter en nulig årsag. Signatur Member of “Alliance of Security Analysis Professionals” - Alle angaben wie immer “nur mit pistole” Græd du også over eventyret om smedens kat, da du var lille? http://www.spywarefri.dk/medarbejderne/ Nierne bomaye - You’ll never walk alone qui potest, obligatur
[ Ignorer ] [ # 13 ] lonejoh
23.03.2010 16:01:03 Antal indlæg: 12	ESETSmartInstaller@High as CAB hook log: OnlineScanner.ocx - registred OK # version=7 # IEXPLORE.EXE=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339) # OnlineScanner.ocx=1.0.0.6211 # api_version=3.0.2 # EOSSerial=cd129e9aff3f6a44800b7dc5461a56e9 # end=finished # remove_checked=true # archives_checked=false # unwanted_checked=true # unsafe_checked=false # antistealth_checked=false # utc_time=2010-03-23 01:29:27 # local_time=2010-03-23 02:29:27 (+0100, W. Europe Standard Time) # country=“Denmark” # lang=1033 # osver=5.1.2600 NT Service Pack 3 # compatibility_mode=512 16777215 100 0 29379346 29379346 0 0 # compatibility_mode=8192 67108863 100 0 3773 3773 0 0 # scanned=14983 # found=3 # cleaned=0 # scan_time=826 C:\-FILER\fusion\Fra gammel PC\Outlook Express\Deleted Items.dbx multiple threats (unable to clean) 2DD492F317845AE252068A03DEC9176E I C:\-FILER\fusion\Fra gammel PC\Outlook Express\Familie.dbx probably a variant of Win32/TrojanDownloader.Agent trojan (unable to clean) F2743F16D58C682252D9018618771F66 I C:\-FILER\fusion\Fra gamel PC\Outlook Express\helle.dbx Win32/MTX.A virus (unable to clean) D0167EAD7515C7BD2994B7680C062105 I # version=7 # IEXPLORE.EXE=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339) # OnlineScanner.ocx=1.0.0.6211 # api_version=3.0.2 # EOSSerial=cd129e9aff3f6a44800b7dc5461a56e9 # end=finished # remove_checked=true # archives_checked=false # unwanted_checked=true # unsafe_checked=false # antistealth_checked=false # utc_time=2010-03-23 01:54:40 # local_time=2010-03-23 02:54:40 (+0100, W. Europe Standard Time) # country=“Denmark” # lang=1033 # osver=5.1.2600 NT Service Pack 3 # compatibility_mode=512 16777215 100 0 29381481 29381481 0 0 # compatibility_mode=8192 67108863 100 0 5908 5908 0 0 # scanned=14931 # found=0 # cleaned=0 # scan_time=206 Jeg har slettet de tre .dbx filer den fandt, da de slet ikke bruges på min “nye” pc og kørt ESET igen, hvorefter den ikke har kunne finde noget. Jeg har afinstalleret spywareblaster. Fortsat dobbeltklik i Google. Kører pt en microtrend-scan.
[ Ignorer ] [ # 14 ] lonejoh
24.03.2010 02:04:31 Antal indlæg: 12	Trendmicro gav heller ikke noget. MEN jeg har efter flere timers søgning fundet en gut som meget detaljeret overfor Google, skriver om samme problem. Dertil er der nogle svar. Har I en fornemmelse af hvilket et af svarene, der for det første er korrekte, og dernæst hvilken vej jeg skal gå? De der svar er sort snak for mig. Se følgende: http://www.google.com/support/forum/p/Web+Search/thread?tid=5c47d71318ebf204&hl=en Håber at I kan hjælpe.
[ Ignorer ] [ # 15 ] holger
01.04.2010 20:28:43 Antal indlæg: 352	Hvis du har google som startside gør det så nogen forskel hvis du sætter blank side eller eksempelvis spywarefri som startside -og så blot tilføjer google (måske avanceret søgning) som en af dine favoritter, og søger derfra de gange hvor du har brug for det men skulle være underligt at det gjorde en forskel

1 af 2

Næste