Just nu i M3-nätverket
Jump to content

IE popar upp med reklam, när jag startar FF


alltalla

Recommended Posts

Hej

Den senaste veckan så popar IE upp med reklam (Mest Partypoker.com), när jag startar FireFox på min windows 2000 maskin. Hur kan man hindra detta? Det är inte så att FireFox går till en speciell sida, det händer även om jag ställer in Firefox på att starta utan sida about: blank. Detta är något helt nytt för mej. Hur stoppa IE?

 

 

 

Link to comment
Share on other sites

Det var ingen liten logfil.

 

[log]Logfile of HijackThis v1.99.1

 

Scan saved at 15:36:51, on 2006-11-30

 

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

 

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

 

 

Running processes:

 

C:\WINNT\System32\smss.exe

 

C:\WINNT\system32\winlogon.exe

 

C:\WINNT\system32\services.exe

 

C:\WINNT\system32\lsass.exe

 

C:\WINNT\system32\Ati2evxx.exe

 

C:\WINNT\system32\svchost.exe

 

C:\WINNT\system32\spoolsv.exe

 

C:\WINNT\system32\cisvc.exe

 

C:\WINNT\system32\svchost.exe

 

C:\WINNT\system32\hidserv.exe

 

C:\Program Files\Eset\nod32krn.exe

 

C:\WINNT\system32\regsvc.exe

 

C:\WINNT\system32\MSTask.exe

 

C:\WINNT\System32\WBEM\WinMgmt.exe

 

C:\WINNT\system32\svchost.exe

 

C:\WINNT\system32\Ati2evxx.exe

 

C:\WINNT\Explorer.EXE

 

C:\WINNT\system32\rmctrl.exe

 

C:\Program Files\Eset\nod32kui.exe

 

C:\Program Files\PCI Audio Applications\Bin\EchoCtrl.exe

 

C:\WINNT\Mixer.exe

 

C:\Program Files\Winamp\winampa.exe

 

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

 

C:\Program Files\K-Lite Codec Pack\QuickTime\qttask.exe

 

C:\Program Files\iTunes\iTunesHelper.exe

 

C:\WINNT\system32\internat.exe

 

C:\Program Files\Internet Explorer\iexplore.exe

 

c:\progra~1\intern~1\iexplore.exe

 

C:\Program Files\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe

 

C:\Program Files\iPod\bin\iPodService.exe

 

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

 

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

 

C:\WINNT\system32\cidaemon.exe

 

C:\PROGRA~1\Pinnacle\SHARED~1\Filter\server.exe

 

C:\PROGRA~1\MOZILL~1\FIREFOX.EXE

 

C:\Program Files\Hijackthis\HijackThis.exe

 

 

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://10.0.0.1:82/

 

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = www-proxy.uu.se:8080

 

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 10.*; 92.168.*;<local>

 

F3 - REG:win.ini: run=

 

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

 

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

 

O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

 

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

 

O4 - HKLM\..\Run: [RemoteControl] C:\WINNT\system32\rmctrl.exe

 

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033

 

O4 - HKLM\..\Run: [PCLEPCI] C:\PROGRA~1\Pinnacle\PPE\ppe.exe

 

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

 

O4 - HKLM\..\Run: [C-Media Echo Control] C:\Program Files\PCI Audio Applications\Bin\EchoCtrl.exe

 

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

 

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

 

O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

 

O4 - HKLM\..\Run: [sETTINGSONLINEBIASCLOCK] C:\Documents and Settings\All Users\Application Data\helpspamsettingsonline\Date second.exe

 

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\K-Lite Codec Pack\QuickTime\qttask.exe" -atboottime

 

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

 

O4 - HKCU\..\Run: [internat.exe] internat.exe

 

O4 - HKCU\..\Run: [CAST LOVE] C:\DOCUME~1\a\APPLIC~1\HOLEBO~1\Locks Admin.exe

 

O4 - Startup: Yahoo! Desktop Search System Tray.lnk = C:\Program Files\Yahoo!\Yahoo! Desktop Search\YDSsystray.exe

 

O4 - Global Startup: Pinnacle Scheduler.lnk = C:\Program Files\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe

 

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

 

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1134695563831

 

O16 - DPF: {B64F4A7C-97C9-11DA-8BDE-F66BAD1E3F3A} - http://locator1.cdn.imagesrvr.com/sites/errorsafe.com/www/download/2006/en/ErrorSafeScannerInstall.cab

 

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe

 

O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe

 

O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

 

O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

 

O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Program Files\Eset\nod32krn.exe

[/log]

Link to comment
Share on other sites

Antalet rader med text är normalt, men av någon anledning så är det en tomrad mellan varje rad. Nästa gång se om det finns någon inställning i Anteckningar så att det inte blir så (inga automatiska radbyten t ex).

 

Det finns troligen en otrevlighet i datorn som döljer sig när HijackThis körs. För att lura den så gör så här:

Gå till mappen C:\Program\Hijackthis med Utforskaren eller Den här datorn och byt namn på programmet HijackThis.exe till något annat, t ex rensning.exe, skapa sedan en ny logg som klistras in här.

 

Link to comment
Share on other sites

Något jag lade märke till är:

 

C:\Program Files\Internet Explorer\iexplore.exe

c:\progra~1\intern~1\iexplore.exe

 

De ligger undervarandra. Brukar det vara så? En annan sak är att jag blev varnad av en kompis att använda K-Lite Codec Pack. Har iof använt det ett tag, men det är nyligen det började poppa upp reklam via IE.

 

[log]Logfile of HijackThis v1.99.1

 

Scan saved at 18:46:56, on 2006-11-30

 

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

 

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

 

 

Running processes:

 

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\Ati2evxx.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\system32\cisvc.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\hidserv.exe

C:\Program Files\Eset\nod32krn.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\Ati2evxx.exe

C:\WINNT\Explorer.EXE

C:\WINNT\system32\rmctrl.exe

C:\Program Files\D-Tools\daemon.exe

C:\Program Files\Eset\nod32kui.exe

C:\Program Files\PCI Audio Applications\Bin\EchoCtrl.exe

C:\WINNT\Mixer.exe

C:\Program Files\Winamp\winampa.exe

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\Program Files\K-Lite Codec Pack\QuickTime\qttask.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\WINNT\system32\internat.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe

c:\progra~1\intern~1\iexplore.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\rensa\rensa.exe

 

 

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://10.0.0.1:82/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = www-proxy.uu.se:8080

 

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 10.*; 92.168.*;<local>

 

F3 - REG:win.ini: run=

 

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

 

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

 

O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

 

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

 

O4 - HKLM\..\Run: [RemoteControl] C:\WINNT\system32\rmctrl.exe

 

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033

 

O4 - HKLM\..\Run: [PCLEPCI] C:\PROGRA~1\Pinnacle\PPE\ppe.exe

 

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

 

O4 - HKLM\..\Run: [C-Media Echo Control] C:\Program Files\PCI Audio Applications\Bin\EchoCtrl.exe

 

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

 

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

 

O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

 

O4 - HKLM\..\Run: [sETTINGSONLINEBIASCLOCK] C:\Documents and Settings\All Users\Application Data\helpspamsettingsonline\Date second.exe

 

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\K-Lite Codec Pack\QuickTime\qttask.exe" -atboottime

 

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

 

O4 - HKCU\..\Run: [internat.exe] internat.exe

 

O4 - HKCU\..\Run: [CAST LOVE] C:\DOCUME~1\a\APPLIC~1\HOLEBO~1\Locks Admin.exe

 

O4 - Startup: Yahoo! Desktop Search System Tray.lnk = C:\Program Files\Yahoo!\Yahoo! Desktop Search\YDSsystray.exe

 

O4 - Global Startup: Pinnacle Scheduler.lnk = C:\Program Files\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe

 

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

 

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1134695563831

 

O16 - DPF: {B64F4A7C-97C9-11DA-8BDE-F66BAD1E3F3A} - http://locator1.cdn.imagesrvr.com/sites/errorsafe.com/www/download/2006/en/ErrorSafeScannerInstall.cab

 

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe

 

O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe

 

O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

 

O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

 

O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Program Files\Eset\nod32krn.exe

[/log]

Link to comment
Share on other sites

I den här loggen ligger de två iexplore.exe inte under varandra, det beror nog på i vilken ordning som programmen startas bara.

 

Ladda ner NoLop till Skrivbordet:

http://www.spywareedge.net/nolop/NoLop.exe

Stäng alla program för datorn kommer att startas om.

Dubbelklicka på NoLop för att starta det.

Klicka på Search and Destroy

Om något hittas så kommer det ett meddelande om att starta om datorn, klicka då på OK

Klicka på Reboot

Ett meddelande borde komma upp från NoLop, om inte så dubbelklicka på programmet igen och det kommer att göra det sista.

 

Klistra in C:\NoLop.log och en ny HijackThis-logg så tittar jag på dem imorgon.

 

Link to comment
Share on other sites

NoLop.exe hittade nått skit, en lång fil med .job så jag rebootade som programet sa.

 

..Men det kom en popup ändå efteråt :( När jag efter omstarten körde NoLop.exe igen så hittades inget.

 

Jag kör Ad-aware och PestPatrol då och då och NOD32 ligger igång hela tiden.

 

[log]NoLop! Log by Skate_Punk_21

 

 

 

Fix running from: C:\Program Files\Mozilla Firefox

 

[2006-11-30]

 

[20:11:03]

 

 

 

---Infection Files Found/Removed---

 

C:\WINNT\tasks\A9F3599D93C4D509.job

 

 

 

Beginning Removal...

 

Rebooting...

 

Removing Lop's Leftover Files/Folders...

 

Editing Registry...

 

**Fix Complete!**

 

 

 

---Listing AppData sub directories---

 

 

 

C:\Documents and Settings\A\Application Data\.abc

 

C:\Documents and Settings\A\Application Data\Adobe

 

C:\Documents and Settings\A\Application Data\Adobeum

 

C:\Documents and Settings\A\Application Data\Apple Computer

 

C:\Documents and Settings\A\Application Data\Ati

 

C:\Documents and Settings\A\Application Data\Bsplayer

 

C:\Documents and Settings\A\Application Data\Cyberlink

 

C:\Documents and Settings\A\Application Data\Dvdcss

 

C:\Documents and Settings\A\Application Data\Google

 

C:\Documents and Settings\A\Application Data\Help -- EMPTY Directory

 

C:\Documents and Settings\A\Application Data\Hole Bone First

 

C:\Documents and Settings\A\Application Data\Identities

 

C:\Documents and Settings\A\Application Data\Lavasoft

 

C:\Documents and Settings\A\Application Data\Macromedia

 

C:\Documents and Settings\A\Application Data\Mapinfo

 

C:\Documents and Settings\A\Application Data\Media Player Classic

 

C:\Documents and Settings\A\Application Data\Microsoft

 

C:\Documents and Settings\A\Application Data\Mozilla

 

C:\Documents and Settings\A\Application Data\Netpumper

 

C:\Documents and Settings\A\Application Data\Ooo-dev2

 

C:\Documents and Settings\A\Application Data\Real

 

C:\Documents and Settings\A\Application Data\Tuneup Software

 

C:\Documents and Settings\A\Application Data\Utorrent

 

C:\Documents and Settings\A\Application Data\Vlc

 

C:\Documents and Settings\All Users\Application Data\Adobe

 

C:\Documents and Settings\All Users\Application Data\Apple Computer

 

C:\Documents and Settings\All Users\Application Data\Cyberlink

 

C:\Documents and Settings\All Users\Application Data\Helpspamsettingsonline

 

C:\Documents and Settings\All Users\Application Data\Mapinfo

 

C:\Documents and Settings\All Users\Application Data\Metacafe -- EMPTY Directory

 

C:\Documents and Settings\All Users\Application Data\Microsoft

 

C:\Documents and Settings\All Users\Application Data\Real -- EMPTY Directory

 

C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy

 

C:\Documents and Settings\All Users\Application Data\Symantec

 

C:\Documents and Settings\All Users\Application Data\Tuneup Software

 

C:\Documents and Settings\B\Application Data\Adobe

 

C:\Documents and Settings\B\Application Data\Ati

 

C:\Documents and Settings\B\Application Data\Identities

 

C:\Documents and Settings\B\Application Data\Microsoft

 

C:\Documents and Settings\B\Application Data\Mozilla

 

C:\Documents and Settings\Default User\Application Data\Adobe

 

C:\Documents and Settings\Default User\Application Data\Microsof

 

[inlägget ändrat 2006-12-01 05:15:38 av eriknilsson][/log]

[inlägget ändrat 2006-12-01 12:02:22 av eriknilsson]

Link to comment
Share on other sites

[log]Logfile of HijackThis v1.99.1

 

Scan saved at 04:14:51, on 2006-12-01

 

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

 

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

 

 

Running processes:

 

C:\WINNT\System32\smss.exe

 

C:\WINNT\system32\winlogon.exe

 

C:\WINNT\system32\services.exe

 

C:\WINNT\system32\lsass.exe

 

C:\WINNT\system32\Ati2evxx.exe

 

C:\WINNT\system32\svchost.exe

 

C:\WINNT\system32\spoolsv.exe

 

C:\WINNT\system32\cisvc.exe

 

C:\WINNT\system32\svchost.exe

 

C:\WINNT\system32\hidserv.exe

 

C:\Program Files\Eset\nod32krn.exe

 

C:\WINNT\system32\regsvc.exe

 

C:\WINNT\system32\MSTask.exe

 

C:\WINNT\System32\WBEM\WinMgmt.exe

 

C:\WINNT\system32\svchost.exe

 

C:\WINNT\system32\Ati2evxx.exe

 

C:\WINNT\Explorer.EXE

 

C:\WINNT\system32\rmctrl.exe

 

C:\Program Files\D-Tools\daemon.exe

 

C:\Program Files\Eset\nod32kui.exe

 

C:\Program Files\PCI Audio Applications\Bin\EchoCtrl.exe

 

C:\WINNT\Mixer.exe

 

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

 

C:\Program Files\K-Lite Codec Pack\QuickTime\qttask.exe

 

C:\Program Files\iTunes\iTunesHelper.exe

 

C:\WINNT\system32\internat.exe

 

C:\Program Files\Internet Explorer\iexplore.exe

 

c:\progra~1\intern~1\iexplore.exe

 

C:\Program Files\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe

 

C:\Program Files\iPod\bin\iPodService.exe

 

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

 

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

 

C:\WINNT\system32\cidaemon.exe

 

H:\StrongDC\StrongDC.exe

 

C:\Program Files\rensa\rensa.exe

 

 

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

 

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = www-proxy.uu.se:8080

 

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 10.*; 92.168.*;<local>

 

F3 - REG:win.ini: run=

 

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

 

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

 

O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

 

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

 

O4 - HKLM\..\Run: [RemoteControl] C:\WINNT\system32\rmctrl.exe

 

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033

 

O4 - HKLM\..\Run: [PCLEPCI] C:\PROGRA~1\Pinnacle\PPE\ppe.exe

 

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

 

O4 - HKLM\..\Run: [C-Media Echo Control] C:\Program Files\PCI Audio Applications\Bin\EchoCtrl.exe

 

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

 

O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

 

O4 - HKLM\..\Run: [sETTINGSONLINEBIASCLOCK] C:\Documents and Settings\All Users\Application Data\helpspamsettingsonline\Date second.exe

 

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\K-Lite Codec Pack\QuickTime\qttask.exe" -atboottime

 

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

 

O4 - HKCU\..\Run: [internat.exe] internat.exe

 

O4 - HKCU\..\Run: [CAST LOVE] C:\DOCUME~1\a\APPLIC~1\HOLEBO~1\Locks Admin.exe

 

O4 - Startup: Yahoo! Desktop Search System Tray.lnk = C:\Program Files\Yahoo!\Yahoo! Desktop Search\YDSsystray.exe

 

O4 - Global Startup: Pinnacle Scheduler.lnk = C:\Program Files\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe

 

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

 

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1134695563831

 

O16 - DPF: {B64F4A7C-97C9-11DA-8BDE-F66BAD1E3F3A} - http://locator1.cdn.imagesrvr.com/sites/errorsafe.com/www/download/2006/en/ErrorSafeScannerInstall.cab

 

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe

 

O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe

 

O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

 

O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

 

O23 - Service: JMU - Sysinternals - www.sysinternals.com - C:\DOCUME~1\a\LOCALS~1\Temp\JMU.exe

 

O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Program Files\Eset\nod32krn.exe

[/log]

 

Link to comment
Share on other sites

Kan du vara snäll och trycka på Redigera under ditt inlägg med loggen från NoLop, därefter markera (måla) loggen och så trycka på LOG-knappen som finns på samma rad som :thumbsdown::thumbsup:.

 

Vet du vad det här är som har dykt upp nu?

O23 - Service: JMU - Sysinternals - www.sysinternals.com - C:\DOCUME~1\a\LOCALS~1\Temp\JMU.exe

Om inte gå till http://www.virustotal.com/ klistra in följande filnamn i rutan, tryck på Send och vänta tills resultatet är klart (Status blir Finished). Klistra in resultatet (inkl. filstorlek) här.

C:\DOCUME~1\a\LOCALS~1\Temp\JMU.exe

 

[log]Skanna med HijackThis och bocka för:

 

F3 - REG:win.ini: run=

O4 - HKLM\..\Run: [sETTINGSONLINEBIASCLOCK] C:\Documents and Settings\All Users\Application Data\helpspamsettingsonline\Date second.exe

O4 - HKCU\..\Run: [CAST LOVE] C:\DOCUME~1\a\APPLIC~1\HOLEBO~1\Locks Admin.exe

O16 - DPF: {B64F4A7C-97C9-11DA-8BDE-F66BAD1E3F3A} - http://locator1.cdn.imagesrvr.com/sites/errorsafe.com/www/downloa

d/2006/en/ErrorSafeScannerInstall.cab

 

Avsluta alla andra program.

Tryck Fix checked.

 

Starta om datorn i felsäkert läge (tryck F8 upprepade gånger under uppstarten och välj felsäkert läge i menyn).

 

Ställ in Utforskaren så att du kan se alla filer:

Verktyg - (Mapp)alternativ eller liknande - Visning

Välj Visa dolda filer och mappar

Avbocka Dölj filnamnstillägg för kända filtyper

Avbocka Dölj skyddade operativsystemfiler

 

Ta bort mapparna (om de finns kvar):

C:\Documents and Settings\All Users\Application Data\helpspamsettingsonlineC:\Documents and Settings\A\Application Data\Hole Bone First

 

Starta om i normalt läge och så en ny HijackThis-logg.

Hur uppför sig datorn nu? Hur uppför den sig om man är inloggad som B?[/log]

 

Link to comment
Share on other sites

Nu funkar det bra. Gjorde som du sa och tog bort de fyra sakerna. Slipper en massa skitreklam när jag ska ut och surfa.

 

JMU.exe detekterades inte av någon som virus, men Fortinet placerade det som "suspicious".

 

Jag kan inte logga in med min wondowsmaskin på idg (den klagar på felaktigt lösenord) men här funkar det bra. Därför lite konstiga logga, för över via internet till denna maskin. Är väl något annat skit som ligger på burken ;). Jag är väldigt nöd, nu men vill du ha de där loggarna efter rensningen?

 

I så fall kan du säga till. Sparat dem på andra datorn. Du är en ängel tack för all hjälp.

 

 

Link to comment
Share on other sites

Du kan kontrollera själv att raderna du bockade för i HijackThis verkligen är borta och inte har kommit tillbaks.

 

Om du inte vet att du har installerat något från sysinternals så se om det finns något med JMU i Kontrollpanelen - Lägg till eller ta bort program och ta bort det därifrån. Om inte så:

Kontrollpanelen - Administrationsverktyg - Tjänster

Leta upp JMU i listan, dubbelklicka och välj Startmetod Inaktiverad.

 

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...