Just nu i M3-nätverket
Gå till innehåll

Omöjligt Adware kan vara här?!


affepaffe

Rekommendera Poster

Hej!

Har provat en hel del. Både manuella och alla möjliga adaware, spy doctor mm etc. Alltid kommer Panda Antivirus Titanium upp med sigalen adware/savenow hitttat och eleminerat. Den hittar en cookie som heter typ alf@admeta[1].txt eller något liknande. Jag har inte hittat något i registret. Har även mailat till Panda som säger att jag ska uppdatera ?! Jomenn det har jag gjort, om de nu inte menar något annat.

Finns någon bra mauell borttagning som jag missat?

Här är min Hijackfil efter att Panda hittat och eleminerat:

 

Logfile of HijackThis v1.99.1

Scan saved at 07:07:46, on 2005-06-01

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

d:\Program\Panda Software\Panda Titanium Antivirus 2005\PavProt.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\SCardSvr.exe

C:\WINDOWS\system32\nvsvc32.exe

d:\Program\Panda Software\Panda Titanium Antivirus 2005\PavFnSvr.exe

d:\Program\Panda Software\Panda Titanium Antivirus 2005\Pavkre.exe

C:\Program\Delade filer\Panda Software\PavShld\pavprsrv.exe

d:\Program\Panda Software\Panda Titanium Antivirus 2005\pavsrv51.exe

d:\Program\Panda Software\Panda Titanium Antivirus 2005\AVENGINE.EXE

d:\Program\Panda Software\Panda Titanium Antivirus 2005\prevsrv.exe

d:\Program\Panda Software\Panda Titanium Antivirus 2005\psimsvc.exe

C:\WINDOWS\system32\Smartscaps.exe

C:\Program\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wdfmgr.exe

D:\Program\CyberLink\PowerDVD\PDVDServ.exe

C:\Program\Delade filer\Real\Update_OB\realsched.exe

D:\Program\Panda Software\Panda Titanium Antivirus 2005\APVXDWIN.EXE

D:\Program\Adobe\Acrobat 7.0\Distillr\Acrotray.exe

C:\Program\Java\jre1.5.0_02\bin\jusched.exe

D:\Program\Razer\razertra.exe

C:\Program\Lexmark 7100 Series\lxbxmon.exe

C:\Program\Lexmark 7100 Series\ezprint.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program\ScanSoft\OmniPagePro14.0\WorkFlowTray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program\MSN Messenger\msnmsgr.exe

C:\WINDOWS\System32\alg.exe

C:\Program\SmartTrust\SmartTrust Personal\Csp\SmartCertmover.exe

C:\WINDOWS\system32\lxbxcoms.exe

C:\Program\InterVideo\Common\Bin\WinCinemaMgr.exe

C:\Program\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe

d:\Program\Panda Software\Panda Titanium Antivirus 2005\WebProxy.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Program\Internet Explorer\iexplore.exe

C:\Documents and Settings\Alf\Skrivbord\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.se/0SESVSE/SAOS02

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.se'>http://www.google.se

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aftonbladet.se'>http://www.aftonbladet.se

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.se

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aftonbladet.se

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program\google\googletoolbar1.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Program\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Program\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [RemoteControl] d:\Program\CyberLink\PowerDVD\PDVDServ.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program\Delade filer\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg

O4 - HKLM\..\Run: [APVXDWIN] "d:\Program\Panda Software\Panda Titanium Antivirus 2005\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "D:\Program\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program\Java\jre1.5.0_02\bin\jusched.exe

O4 - HKLM\..\Run: [razertra] d:\Program\Razer\razertra.exe

O4 - HKLM\..\Run: [LXBXCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXBXtime.dll,_RunDLLEntry@16

O4 - HKLM\..\Run: [lxbxmon.exe] "C:\Program\Lexmark 7100 Series\lxbxmon.exe"

O4 - HKLM\..\Run: [FaxCenterServer4_in_1] "C:\Program\Lexmark 7100 Series\fm3032.exe" /s

O4 - HKLM\..\Run: [EzPrint] "C:\Program\Lexmark 7100 Series\ezprint.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [WorkFlowTray] "C:\Program\ScanSoft\OmniPagePro14.0\WorkFlowTray.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?

O4 - Global Startup: Certificate Mover.lnk = C:\Program\SmartTrust\SmartTrust Personal\Csp\SmartCertmover.exe

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program\InterVideo\Common\Bin\WinCinemaMgr.exe

O4 - Global Startup: Pinnacle Scheduler.lnk = ?

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: Convert link target to Adobe PDF - res://D:\Program\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert link target to existing PDF - res://D:\Program\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert selected links to Adobe PDF - res://D:\Program\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convert selected links to existing PDF - res://D:\Program\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Convert selection to Adobe PDF - res://D:\Program\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert selection to existing PDF - res://D:\Program\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert to Adobe PDF - res://D:\Program\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert to existing PDF - res://D:\Program\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Download with GetRight - C:\Program\GetRight\GRdownload.htm

O8 - Extra context menu item: E&xportera till Microsoft Excel - res://D:\Program\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Open PDF in Word - res://C:\Program\ScanSoft\OmniPagePro14.0\PdfCnv\IEShellExt.dll /100

O8 - Extra context menu item: Open with GetRight Browser - C:\Program\GetRight\GRbrowse.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra button: Referensinformation - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\Program\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {E505599B-F37A-4849-A7B0-E0AAB5CB054C} (ScriptPlayerRuntime Class) - https://gfs.nb.se/privat/bank/scripts/eid/NordeaSmartCard.cab

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program\Delade filer\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: lxbx_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxbxcoms.exe

O23 - Service: Machine Debug Manager (MDM) - Unknown owner - C:\Program\Delade filer\Microsoft Shared\VS7DEBUG\MDM.EXE (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software - d:\Program\Panda Software\Panda Titanium Antivirus 2005\PavFnSvr.exe

O23 - Service: Panda Pavkre (Pavkre) - Panda Software - d:\Program\Panda Software\Panda Titanium Antivirus 2005\Pavkre.exe

O23 - Service: Panda PavProt (PavProt) - Panda Software - d:\Program\Panda Software\Panda Titanium Antivirus 2005\PavProt.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Program\Delade filer\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - d:\Program\Panda Software\Panda Titanium Antivirus 2005\pavsrv51.exe

O23 - Service: Panda Preventium+ Service (PREVSRV) - Panda Software - d:\Program\Panda Software\Panda Titanium Antivirus 2005\prevsrv.exe

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software Internacional - d:\Program\Panda Software\Panda Titanium Antivirus 2005\psimsvc.exe

O23 - Service: SmartTrust Smart Card Server (Smartscaps) - SmartTrust - C:\WINDOWS\system32\Smartscaps.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program\Analog Devices\SoundMAX\SMAgent.exe

 

Pls help me!

/Alf

 

Länk till kommentar
Dela på andra webbplatser

Man ska inte prova alla möjliga antispionprogram, för det finns många som snarare orsakar skada än reparerar datorn. Om du ska använda gratis program så är det Ad-aware, Spybot S&D och möjligen Microsofts antispionprogram som gäller.

 

Testa några online-skanningar, naturligtvis inte från samma tillverkare som antivirusprogrammet du har installerat:

http://housecall.trendmicro.com/

http://security.symantec.com/sscv6/default.asp?langid=ie&venid=sym&plfid=23&pkj=OUUWOOTGUSDJNRNJWDJ

Om de hittar något de inte kan ta bort så skriv här exakt vad de hittar, otrevlighet + filnamn.

 

Cookies kan man inte se i HijackThis. Cookies får man när man surfar på webben, admeta är väl en cookie som håller reda på vilka annonser man sett på vissa webbsidor, inget farligt för datorn.

 

Det går inte att se något särskilt i din logg-fil. Det är möjligt att det går att se något innan Panda har försökt åtgärda problemet.

 

I Pandas databas hittar jag två alternativ för Savenow:

http://www.pandasoftware.com/virus_info/encyclopedia/overview.aspx?idvirus=52088

http://www.pandasoftware.com/virus_info/encyclopedia/overview.aspx?idvirus=40677

Kan du läsa där och se vilken variant som stämmer med din, där står det dessutom lite special-grejer som behöver göras för att ta bort annonsprogrammet.

 

Skriv här exakt vad Panda rapporterar.

 

LOG-filer ska alltid läggas ut på detta sätt:

Tryck på LOG-knappen i inläggsfönstret

Klistra in loggen

Tryck igen på LOG-knappen

 

Länk till kommentar
Dela på andra webbplatser

Alf,

 

på min fritid åker jag runt till folk som ringer och har problem med datorn, oftast är det Spionprogram och annat som ska tas bort och jag rycker oftast ut där Adaware och liknande program har falerat.

 

SaveNow! kommer jag ihåg att jag såg för nästan 3 år sen för första gången, och när jag läste i forumen om detta stog det att det var bättre att avinstallera programmet från "Lägg till/tabort program" i kontrollpanelen än att försöka använda ett Anti spyware program.

 

Testa om detta löser problemet.

 

 

 

// Jonas

 

Länk till kommentar
Dela på andra webbplatser

avinstallera programmet från "Lägg till/tabort program"

Är precis vad Panda skriver för det ena (gamla) alternativet av Savenow.

 

Länk till kommentar
Dela på andra webbplatser

Problemet är att inget finns synligt installerat. Kallas savenow/db tror jag.

 

Länk till kommentar
Dela på andra webbplatser

Nu har jag hittat en underbar sida som berättar om ALLA varianter av SaveNow! Det är det jobbigaste Spionprogrammet jag sett på länge. Somvanligt(tycker jag) verkar det som om adaware och liknande program inte lyckas ta bort allting och det manuella borttagningen blir enda alternativet om inte HJT kan hjälpa till förståss.

 

Länken till den fantastiska sidan:

http://www.doxdesk.com/parasite/SaveNow.html

 

Av det som gäller specifikt för dig klistrar jag in och översätter här:

 

SaveNow/Db måste tas bort manuellt och kan inte tas bort via lägg till/ta bort program.

 

SaveNow/Download Kan tas bort via Lägg till/Tabort men lämnar kvar en ActiveX-kontroll

 

För att tabort ActiveX-kontrollen som du verkar ha problem med, öppna mappen ‘Downloaded Program Files’ i Windows-mappen, och tabort SaveNow objektet. Namnet på kontrollen bör heta ‘FC327B3F-377B-4CB7-8B61-27CD69816BC3’ för Db varianten.

 

SaveNow installerar oftast ‘WeatherCast’ och/eller ‘ClockSync’, dessa kan tas bort från Lägg till/Tabort program

 

Manuell registerborttagning för alla varianter av SaveNow(inklusive de två som jag inte nämnt i detta inlägg), öppna registret och klicka fram följande sökväg: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

 

Tabort alla ‘SaveNow’, ‘WhenUSave’, ‘WhenUSearch’ eller ‘VVSN’ värden som du möjligtvis kan hitta. Starta om datorn och du skulle nu kunna tabort kataloger i programmappen som heter något av följande: ‘SaveNow’, ‘Save’, ‘WhenUSearch’, ‘WhenUSearchWHSE’ eller ‘VVSN’.

 

Nu borde du väl ändå vara spionfri??

 

// Jonas

 

Länk till kommentar
Dela på andra webbplatser

HijackThis klarar av att ta bort ActiveX-komponenter och rensa registret, på ett säkrare sätt än att pilla i registret på egen hand.

 

Länk till kommentar
Dela på andra webbplatser

Ja, nu vet vi iallafall vilka filer som gäller. Så nu borde SaveNow försvinna.

 

Det känns som om jag är den enda i hela universum som inte använder mig av HJT, hade inte ens hört talas om det innan jag kom hit till forumet för några dgara sedan. Jag lovar att kolla in detta progra och kan således ge användarna lite mindre f a r l i g a tips i framtiden. :)

 

// Jonas

 

Länk till kommentar
Dela på andra webbplatser

Mjaha, Nu har jag installerarat Webroot Spy Sweeper som också hittade och tog bort. Hittar inga SaveNow eller annat i downloadmapp. Hittar FC327B3F-377B-4CB7-8B61-27CD69816BC3 i registret dock och efter att Panda hittat savenow igen. Pandar Antivirus säger bara "vi har nyligen släppt uppdateringar - installera..." har senaste PA Titanium så jag vet inte om de inte läste mailet rakt igenom.

Körde Hijack direkt efter omstart och innan Panda hittade något

[log]Logfile of HijackThis v1.99.1

Scan saved at 07:28:51, on 2005-06-02

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

d:\Program\Panda Software\Panda Titanium Antivirus 2005\PavProt.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\SCardSvr.exe

C:\WINDOWS\system32\nvsvc32.exe

d:\Program\Panda Software\Panda Titanium Antivirus 2005\PavFnSvr.exe

d:\Program\Panda Software\Panda Titanium Antivirus 2005\Pavkre.exe

C:\Program\Delade filer\Panda Software\PavShld\pavprsrv.exe

d:\Program\Panda Software\Panda Titanium Antivirus 2005\pavsrv51.exe

d:\Program\Panda Software\Panda Titanium Antivirus 2005\AVENGINE.EXE

d:\Program\Panda Software\Panda Titanium Antivirus 2005\prevsrv.exe

d:\Program\Panda Software\Panda Titanium Antivirus 2005\psimsvc.exe

C:\WINDOWS\system32\Smartscaps.exe

C:\Program\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wdfmgr.exe

D:\Program\CyberLink\PowerDVD\PDVDServ.exe

C:\Program\Delade filer\Real\Update_OB\realsched.exe

D:\Program\Panda Software\Panda Titanium Antivirus 2005\APVXDWIN.EXE

D:\Program\Adobe\Acrobat 7.0\Distillr\Acrotray.exe

C:\Program\Java\jre1.5.0_02\bin\jusched.exe

D:\Program\Razer\razertra.exe

C:\Program\Lexmark 7100 Series\lxbxmon.exe

C:\Program\Lexmark 7100 Series\ezprint.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\System32\alg.exe

C:\Program\ScanSoft\OmniPagePro14.0\WorkFlowTray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program\MSN Messenger\msnmsgr.exe

C:\Program\Webroot\Spy Sweeper\SpySweeper.exe

C:\WINDOWS\system32\lxbxcoms.exe

D:\Program\Adobe\Acrobat 7.0\Acrobat\acrobat_sl.exe

C:\Program\SmartTrust\SmartTrust Personal\Csp\SmartCertmover.exe

C:\Program\InterVideo\Common\Bin\WinCinemaMgr.exe

C:\Program\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe

d:\Program\Panda Software\Panda Titanium Antivirus 2005\WebProxy.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\System32\wbem\wmiprvse.exe

C:\Program\Internet Explorer\iexplore.exe

C:\Documents and Settings\Alf\Skrivbord\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.se/0SESVSE/SAOS02

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.se'>http://www.google.se

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aftonbladet.se'>http://www.aftonbladet.se

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.se

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aftonbladet.se

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program\google\googletoolbar1.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Program\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Program\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [RemoteControl] d:\Program\CyberLink\PowerDVD\PDVDServ.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program\Delade filer\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg

O4 - HKLM\..\Run: [APVXDWIN] "d:\Program\Panda Software\Panda Titanium Antivirus 2005\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "D:\Program\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program\Java\jre1.5.0_02\bin\jusched.exe

O4 - HKLM\..\Run: [razertra] d:\Program\Razer\razertra.exe

O4 - HKLM\..\Run: [LXBXCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXBXtime.dll,_RunDLLEntry@16

O4 - HKLM\..\Run: [lxbxmon.exe] "C:\Program\Lexmark 7100 Series\lxbxmon.exe"

O4 - HKLM\..\Run: [FaxCenterServer4_in_1] "C:\Program\Lexmark 7100 Series\fm3032.exe" /s

O4 - HKLM\..\Run: [EzPrint] "C:\Program\Lexmark 7100 Series\ezprint.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [WorkFlowTray] "C:\Program\ScanSoft\OmniPagePro14.0\WorkFlowTray.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [spySweeper] "C:\Program\Webroot\Spy Sweeper\SpySweeper.exe" /0

O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?

O4 - Global Startup: Certificate Mover.lnk = C:\Program\SmartTrust\SmartTrust Personal\Csp\SmartCertmover.exe

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program\InterVideo\Common\Bin\WinCinemaMgr.exe

O4 - Global Startup: Pinnacle Scheduler.lnk = ?

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: Add to &Teleport - d:\Program\TELEPO~1\teleport.htm

O8 - Extra context menu item: Convert link target to Adobe PDF - res://D:\Program\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert link target to existing PDF - res://D:\Program\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert selected links to Adobe PDF - res://D:\Program\Adobe\Acrobat

 

7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convert selected links to existing PDF - res://D:\Program\Adobe\Acrobat

 

7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Convert selection to Adobe PDF - res://D:\Program\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert selection to existing PDF - res://D:\Program\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert to Adobe PDF - res://D:\Program\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert to existing PDF - res://D:\Program\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Download with GetRight - C:\Program\GetRight\GRdownload.htm

O8 - Extra context menu item: E&xportera till Microsoft Excel - res://D:\Program\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Open PDF in Word - res://C:\Program\ScanSoft\OmniPagePro14.0\PdfCnv\IEShellExt.dll /100

O8 - Extra context menu item: Open with GetRight Browser - C:\Program\GetRight\GRbrowse.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra button: Referensinformation - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\Program\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) -

 

http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) -

 

http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) -

 

http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) -

 

http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {E505599B-F37A-4849-A7B0-E0AAB5CB054C} (ScriptPlayerRuntime Class) - https://gfs.nb.se/privat/bank/scripts/eid/NordeaSmartCard.cab

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program\Delade filer\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: lxbx_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxbxcoms.exe

O23 - Service: Machine Debug Manager (MDM) - Unknown owner - C:\Program\Delade filer\Microsoft Shared\VS7DEBUG\MDM.EXE (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software - d:\Program\Panda Software\Panda Titanium Antivirus 2005\PavFnSvr.exe

O23 - Service: Panda Pavkre (Pavkre) - Panda Software - d:\Program\Panda Software\Panda Titanium Antivirus 2005\Pavkre.exe

O23 - Service: Panda PavProt (PavProt) - Panda Software - d:\Program\Panda Software\Panda Titanium Antivirus 2005\PavProt.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Program\Delade filer\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - d:\Program\Panda Software\Panda Titanium Antivirus 2005\pavsrv51.exe

O23 - Service: Panda Preventium+ Service (PREVSRV) - Panda Software - d:\Program\Panda Software\Panda Titanium Antivirus 2005\prevsrv.exe

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software Internacional - d:\Program\Panda Software\Panda Titanium Antivirus 2005\psimsvc.exe

O23 - Service: SmartTrust Smart Card Server (Smartscaps) - SmartTrust - C:\WINDOWS\system32\Smartscaps.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program\Analog Devices\SoundMAX\SMAgent.exe

[/log]

Det verkar ligga kvar i regsitret. Kan det ha kletat sig fast på en exe fil? tex Explorer?

/Alf

 

Länk till kommentar
Dela på andra webbplatser

Med uppdatera menar väl Panda de här uppdateringarna som kommer så gott som dagligen.

 

Syns inget i HijackThis-loggen nu heller. Kan du vägra att låta Panda åtgärda det den hittar?

 

Vad rapporterar Panda för otrevlighet, exakt namn, och i vad?

Ibland kan antivirusprogram ta bort mer effektivt om man skannar datorn med dem i felsäkert läge (tryck F8 upprepade gånger under uppstarten).

 

De andra online-skanningarna, hittade de något?

 

Vad hittade Spy Sweeper?

 

Om spionprogrammet hade varit inne i en fil och ändrat så skulle det inte behöva synas i registret.

 

Eftersom du ser FC327B3F-377B-4CB7-8B61-27CD69816BC3 i registret kan du tala om sökvägen till det?

 

Det vore ju bra om du hade en riktig brandvägg, finns gratis från t ex Sygate och ZoneLabs. Då skulle du få en varning när ett spionprogram försöker skicka upp data till en webbplats.

 

Har du kört antispionprogrammen Ad-aware och Spybot S&D?

http://www.lavasoft.de/support/download/

http://spybot.safer-networking.de/en/download/index.html

Om inte, så bör du göra det. Spybot har en ny version sedan 31/5 och Ad-aware SE 1.06 är också väldigt ny.

 

Du har inget okänt i Kontrollpanelen - Lägg till och ta bort?

Ställ in Utforskaren så att du ser dolda filer, operativsystemfiler och innehållet i systemmmappar. Något okänt i mappen C:\Program såsom Save, VVSN, SaveNow, Xtractor, WhenUSave etc?

 

Töm mapparna för dina temporära filer:

C:\Documents & Settings\<anv.namn>\Lokala inställningar\Temp

C:\Windows\Temp

 

Det är mycket möjligt att SpywareGuard och SpywareBlaster skulle kunna vara ett skydd mot att det är något som du råkar ladda ner genom att besöka någon webbsida:

http://www.javacoolsoftware.com/products.html

 

Vi kan ju se om det finns någon dold fil. Ladda ner Findit.zip:

http://forums.net-integration.net/index.php?act=Attach&type=post&id=142443

Packa upp innehållet till en ny mapp på C:, t ex C:\Findit.

Öppna den nya mappen och dubbelklicka på find.bat.

Låt den jobba klart och klistra in den skapade loggen.

 

Länk till kommentar
Dela på andra webbplatser

Tackar för råden. Ska sätta mig ner i kväll. Rapporten från Panda är om en cookie typ alf@xxx[1].txt och så står om adware/savenow i registret.

 

Länk till kommentar
Dela på andra webbplatser

Ok, cookies är inte farliga för datorn, du får dem genom att surfa till en webbsida som visar annonser. Om Panda bara hittar savenow i registret och ingen fil så är det inget som körs och det borde bara vara att ta bort den raden ur registret.

 

Om du ska ta bort något ur registret manuellt så kom ihåg att göra en säkerhetskopia av det först.

regedit - Arkiv - Exportera

 

Länk till kommentar
Dela på andra webbplatser

Kan det vara så simpelt att Panda bara varnar för ofarliga cookies? Jag laddade ner NoAdware v3.0 som rekommenderat och då hittades fler grejor och jag tog bort alla hänvisningar i register (BearShare, Imesh och alla vad de hette). Startade om och surfade och sen körde samma NoAdware och då hittade den samma bearshare mm (tricky).

Hittar inga dolda filer som inte anges som viktiga (tror jag)

 

Suspect's

Dont delete file's in the section without guidance

If any doubt back them up first

 

* UPX! C:\WINDOWS\TSC.EXE

 

»»»»» lagitamate file's can/will show in this section.

 

* UPX! C:\WINDOWS\System32\CPUINF32.DLL

* UPX! C:\WINDOWS\VSAPI32.DLL

 

 

 

Länk till kommentar
Dela på andra webbplatser

Jag vet inte vem som har rekommenderat NoAdware, inte jag i alla fall. Jag rekommenderar bland gratisprogrammen bara Ad-aware och Spybot S&D, samt i vissa fall Microsofts Antispyware. Pålitliga antispionprogram utan några hyss.

Vill man betala brukar Webroot SpySweeper och PestPatrol vara de mest rekommenderade.

 

Tsc.exe och vsapi32.dll brukar vara TrendMicros rensningsprogram.

 

Cpuinf32.dll brukar höra till något program som uppdaterar sig i bakgrunden, t ex från Kodak och HP, se här:

http://www.iamnotageek.com/a/cpuinf32.dll.php

 

För säkerhets skull så kan du skanna dem här:

http://virusscan.jotti.org/

 

Cookies är ofarliga för datorn i den betydelsen att de inte åstadkommer någon skada som nedladdade filer etc. Cookies kan däremot hålla reda på vad du gör på en webbplats, vilka annonser du tittar eller klickar på, så vill man inte ha sina aktiviteter sparade så är det bra att rensa dem emellanåt.

 

Ange exakt vad NoAdware rapporterar.

 

 

Länk till kommentar
Dela på andra webbplatser

Jag "tror" att jag är ren och att Panda är raskt på att hitta cookies precis som adaware. Nu finns inte adware/sawenow status utan "bara" tracking cookies. NoAdware avistallerade jag när du inte kände igen det. Förmodligen inte något höjdarprogram. Mjae,, in´t vet jag...

 

Länk till kommentar
Dela på andra webbplatser

Det var ju skönt att höra att det har ordnat sig till slut. :thumbsup:

 

Några rekommendationer för framtiden följer här:

 

Ha en riktig brandvägg, t ex en gratis från Sygate eller ZoneLabs, bättre än den inbyggda i XP.

 

Kör Ad-aware och Spybot S&D regelbundet.

http://www.lavasoft.de/support/download/

http://spybot.safer-networking.de/en/download/index.html

 

Om man använder Internet Explorer så kan det vara lämpligt att ha programmen SpywareBlaster och SpywareGuard, vilka hindrar en hel del otrevliga program från att laddas ner resp. köras:

http://www.javacoolsoftware.com

 

Se över säkerhetsinställningarna i Internet Explorer, det finns en hel del tips här:

https://netfiles.uiuc.edu/ehowes/www/btw/ie/ie-opts.htm

Tror det står lite om hur man undviker att få in annons-cookies (3:de parts cookies).

 

Samt kör IE-SpyAd som lägger en hel massa otrevliga webbplatser i zonen Ej tillförlitliga i Internet Explorer så att de inte kan göra något med datorn:

https://netfiles.uiuc.edu/ehowes/www/resource.htm

 

Om man byter webbläsare så är det bara SpywareGuard som behövs. Andra webbläsare är t ex Mozilla Firefox och Opera:

http://www.mozilla.se

http://www.opera.com

 

Allt gratis för hemanvändare/personligt bruk.

 

Länk till kommentar
Dela på andra webbplatser

Arkiverat

Det här ämnet är nu arkiverat och är stängt för ytterligare svar.

×
×
  • Skapa nytt...