Just nu i M3-nätverket
Jump to content

Återkommande spyware....


-[Martin]-

Recommended Posts

Har ett strul med nån popup som dyker upp hela tiden i min jobbdator. Det är bara en tom sida för det blockeras nog i brandäggen men det är ändå enerverande att det dyker upp då och då.. Det blir även helt tok-fullt i tidigare internet platser direkt jag startar upp IE fast jag inte vart ut på något än den dagen. rensar jag lägger de sig tillbaka igen.

 

Jag har kört ad-aware, spybot och Xoftspy och alla hittar massa saker som de sen tar bort, men det dyker upp direkt igen ändå nästan direkt.

 

Under "trusted sites" (internet options/security) hittar jag två sidor som är inskrivna.. "*media-motor.net" och "*.popuppers.com" och dessa lägger sig där på nytt direkt om man tar bort dem.

Letade upp registerposterna och samma sak händer om man tar bort dessa också.

 

Någon som har nån aning vad man ska hitta på? Letat info på massa forum runt om, men ingenting jag hittat verkar hjälpa so far...

 

tacksam för hjälp. :thumbsup:

 

// Martin

 

Link to comment
Share on other sites

Är det XoftSpy version 4 eller senare du har?

Tidigare versioner har inte uppfört sig bra:

http://www.spywarewarrior.com/rogue_anti-spyware.htm#xos_note

 

Det låter som det är dags för CWShredder och HijackThis.

http://www.intermute.com/spysubtract/cwshredder_download.html

Välj "Download the stand-alone version of CWShredder".

resp.

http://www.spywareinfo.com/~merijn/downloads.html

 

Skriv här hur det har gått med CWShredder och bifoga en HijackThis-logg på detta sätt:

Tryck på LOG-knappen i Besvara-fönstret

Klistra in loggen

Tryck igen på LOG-knappen

 

Link to comment
Share on other sites

Kolla här: http://www.javacoolsoftware.com progammen Spywareblaster

och Spywareguard tar inte bort spyware,men hindrar spyware från

att komma in i datorn.Men eftersom det är din jobbdator kanske

du inte får installera annat än jobbrelaterade program på datorn.

 

 

 

 

 

 

 

 

 

 

 

[inlägget ändrat 2005-02-09 13:11:21 av Brynäsarn]

Link to comment
Share on other sites

Jo 4.09 var det tydligen...

 

ska kolla de andra programmen där om de kan lösa något..

 

tack så länge.

 

Link to comment
Share on other sites

Här kommer the log...

 

[log]

Logfile of HijackThis v1.99.0

Scan saved at 14:12:17, on 2005-02-09

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\drivers\trcboot.exe

C:\Program Files\NavNT\defwatch.exe

C:\Program Files\IBM\Personal Communications\PCS_AGNT.EXE

C:\WINDOWS\system32\cba\pds.exe

C:\Program Files\C4ebreg\isamsmt.exe

c:\sdwork\issimsvc.exe

C:\Program Files\NavNT\rtvscan.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\cba\xfr.exe

C:\WINDOWS\System32\Drivers\ldlcserv.exe

C:\WINDOWS\system32\MsgSys.EXE

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\ICO.EXE

C:\Program Files\NavNT\vptray.exe

C:\WINDOWS\System32\FSRremoS.EXE

C:\WINDOWS\System32\Pelmiced.exe

C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe

C:\Program Files\Zone Labs\Integrity Client\iclient.exe

C:\Program Files\Aventail\Connect\as32.exe

C:\Program Files\IBM\TACACS Client\TACACSClient.exe

C:\Program Files\IBM\Personal Communications\pcsws.exe

C:\Program Files\Noter\noter.exe

C:\Program Files\IBM\Personal Communications\PCSCM.EXE

C:\Program Files\toxclient\toxclient.exe

C:\WINDOWS\newpop63.exe

C:\WINDOWS\System32\wisptis.exe

C:\Notes\nNOTESMM.EXE

C:\Notes\NLNOTES.EXE

C:\Notes\ntaskldr.EXE

C:\PROGRA~1\Citrix\ICACLI~1\Wfcrun32.exe

C:\PROGRA~1\Citrix\ICACLI~1\WFICA32.EXE

C:\PROGRA~1\Citrix\ICACLI~1\WFICA32.EXE

C:\Program Files\C4EBReg\c4ebreg.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\IBM\NotesBuddy\NotesBuddy.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\HijackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://w3.ibm.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://w3.ibm.com/emea/nordic/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = socks=socks3.server.ibm.com:1080

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE

O4 - HKLM\..\Run: [vptray] C:\Program Files\NavNT\vptray.exe

O4 - HKLM\..\Run: [C4EBReg] "C:\Program Files\C4EBReg\c4ebreg.exe" /q

O4 - HKLM\..\Run: [iSSI EZUpdate Service] "c:\sdwork\issimsvc.exe"

O4 - HKLM\..\Run: [iSAM SMT Service] "C:\Program Files\C4ebreg\isamsmt.exe"

O4 - HKLM\..\Run: [stgclean] c:\sdwork\w32main2.exe /cleanup

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [popuppers] C:\WINDOWS\newpop63.exe

O4 - Startup: IBM NotesBuddy for Notes.lnk = C:\Program Files\IBM\NotesBuddy\NotesBuddy.exe

O4 - Startup: LiveUpdate.lnk = C:\Program Files\Navnt\vpdn_lu.exe

O4 - Global Startup: Integrity Client.lnk = C:\Program Files\Zone Labs\Integrity Client\iclient.exe

O4 - Global Startup: Lotus QuickStart.lnk = ?

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&xport to Microsoft Excel - res://c:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O10 - Unknown file in Winsock LSP: c:\program files\aventail\connect\asnsp.dll

O10 - Unknown file in Winsock LSP: c:\program files\aventail\connect\aslsp.dll

O10 - Unknown file in Winsock LSP: c:\program files\aventail\connect\aslsp.dll

O10 - Unknown file in Winsock LSP: c:\program files\aventail\connect\aslsp.dll

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O14 - IERESET.INF: START_PAGE_URL=http://w3.ibm.com

O15 - Trusted Zone: *.media-motor.net

O15 - Trusted Zone: *.popuppers.com

O16 - DPF: RaptisoftGameLoader - http://www.miniclip.com/hamsterball/raptisoftgameloader.cab

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralInitialSetup1.0.0.8.cab

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/2076e79baadd463f1e06/netzip/RdxIE601.cab

O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/gamc20-gb/gbc20/games10.cab

O16 - DPF: {9519B2A2-6592-4E41-8290-D0298459270C} (LNWebAssist Class) - http://w3.ibm.com/bluepages/scripts/lnwebassist.cab

O16 - DPF: {A4B28810-11A2-4956-82D1-B2DCBA4B2AFD} (gpwsx.plugin) - http://w3-3.ibm.com/tools/print/plugin/gpwsx.CAB

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O16 - DPF: {E876D003-BCDE-11D3-9131-000094B61529} - https://eroom.m-real.com/eRoomSetup/client.cab

O16 - DPF: {F54C1137-5E34-4B95-95A5-BA56D4D8D743} (Secure Delivery) - http://www.gamespot.com/KDX22/download/kdx.cab

O16 - DPF: {FA3662C3-B8E8-11D6-A667-0010B556D978} (IWinAmpActiveX Class) - http://cdn.digitalcity.com/_media/dalaillama/ampx.cab

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = vst.se.ibm.com,se.ibm.com,ibm.com

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = vst.se.ibm.com,se.ibm.com,ibm.com

O23 - Service: DefWatch - Symantec Corporation - C:\Program Files\NavNT\defwatch.exe

O23 - Service: Intel File Transfer - Intel® Corporation - C:\WINDOWS\system32\cba\xfr.exe

O23 - Service: Intel PDS - Intel® Corporation - C:\WINDOWS\system32\cba\pds.exe

O23 - Service: ISAM SMT Service - IBM Global Services - C:\Program Files\C4ebreg\isamsmt.exe

O23 - Service: ISSI EZUpdate - IBM Global Services - c:\sdwork\issimsvc.exe

O23 - Service: ldlcserv - IBM Corporation - C:\WINDOWS\System32\Drivers\ldlcserv.exe

O23 - Service: Norton AntiVirus Client - Symantec Corporation - C:\Program Files\NavNT\rtvscan.exe

O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: TrcBoot - IBM Corporation - C:\WINDOWS\System32\drivers\trcboot.exe

O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

[/log]

 

Link to comment
Share on other sites

Om du jobbar på IBM finns det inte intern support för att lösa den här typen av problem?

 

HijackThis kommer att skapa säkerhetskopior i samma mapp som den ligger och det är kanske inte så bra direkt i Program Files, så jag tycker du skapar en egen mapp till den, t ex C:\Program Files\Hijack.

 

[log]För att du inte ska råka återställa datorn till ett läge med otrevligheter i så bör du ta bort samtliga systemåterställningspunkter genom att stänga av systemåterställningsfunktionen.

Den här datorn - Egenskaper - Systemåterställning

När datorn är ren så ska systemåterställningsfunktionen slås på igen.

 

Ta upp aktivitetshanteraren och avsluta denna process, om den syns och det går:

newpop63.exe

 

Kör HijackThis, skanna och bocka för dessa rader:

 

O4 - HKLM\..\Run: [popuppers] C:\WINDOWS\newpop63.exe

O15 - Trusted Zone: *.media-motor.net

O15 - Trusted Zone: *.popuppers.com

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCent

ralInitialSetup1.0.0.8.cab

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/2076e79baadd463f1e06/netzip/RdxIE601.

cab

O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/gamc20-gb/gbc20/games10.cab

O16 - DPF: {FA3662C3-B8E8-11D6-A667-0010B556D978} (IWinAmpActiveX Class) - http://cdn.digitalcity.com/_media/dalaillama/ampx.cab

 

Avsluta alla program och fönster, förutom HijackThis.

 

Tryck på Fix checked.

 

Starta om i felsäkert läge.

 

Ställ in Utforskaren så att du kan se alla filer.

Verktyg - Mappalternativ - Visning

Välj Visa dolda filer och mappar

Avbocka Dölj filnamnstillägg för kända filtyper

Avbocka Dölj skyddade operativsystemfiler

Bocka för Visa innehållet i systemmappar

 

Ta bort denna fil om den finns:

C:\WINDOWS\newpop63.exe[/log]

 

Starta om datorn i normalt läge och ta ut en ny HijackThis-logg.

Rapportera här hur det har gått och hur din dator uppför sig samt bifoga loggen.

 

Du skulle kanske ta det lite lugnare med ditt spelande på en jobbdator, så du inte installerar så mycket. ;)

SpywareBlaster är inte gratis att använda på jobbdatorer!

 

 

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...