Hijackthis log (diverse popup med interval)

Lort, har lige opdaget, at der kom en linie til banken med, kan nogle misbruge denne? Ellers vil jeg lige bede en admin om at fjerne den...(jeg kan ikke selv redigere...!?!?!)

Det er for sent, din konto er tømt.

Seriøst, det udgør overhovedet INGEN sikkerhedsrisiko, det eneste den linie gør er at hente det ActiveX objekt, der kan få danske banks netbank til at virke, det afslører ingen koder eller noget som helst.

Du er blevet velsignet med en Lopinfektion, er der eller har der været installeret MessengerPlus på maskinen?

Vi skal lige se et par tekster mere, for at få skramlet væk i et hug.

Hent Schtasks her:
http://fromsej.dk/download/schtasks.exe
Den skal ligge i C:\windows\system32\
Hvis du bliver spurgt om den skal overskrives, så annuller download, så har du filen allerede.

Hent fl.zip, pak den ud og kør fl.bat - programmet laver en lille tekst fil, som du også skal kopiere herind:
http://www.ctrlaltdel.dk/Programmer/fl.zip

Klik på Start->Kør skriv CMD og klik OK.
I "DOS"vinduet skriver du følgende: (tryk på <Enter> efter hver linie)
schtasks /query>C:\tasks.txt
notepad C:\tasks.txt
Kopier indholdet herind.

findlop loggen:

Disken i drev C har ikke noget navn.
Diskens serienummer er F404-ED84

Indhold af C:\Documents and Settings\All Users\Application Data

16-03-2005  17:11    <DIR>          Adobe
21-12-2006  14:26    <DIR>          AmenThirdPingInter
24-09-2006  20:36    <DIR>          Apple Computer
22-12-2006  23:54    <DIR>          BullGuard
26-09-2004  18:45    <DIR>          CyberLink
03-09-2006  21:22    <DIR>          e-Safekey
15-10-2006  10:12    <DIR>          Google
10-11-2004  19:14    <DIR>          Macromedia
19-05-2004  16:07    <DIR>          MSN6
24-01-2006  21:24            1.747 QTSBandwidthCache
21-05-2004  14:27    <DIR>          QuickTime
30-05-2004  21:21    <DIR>          Skype
02-12-2006  21:27    <DIR>          Symantec
21-11-2004  20:02    <DIR>          Trymedia
12-01-2005  12:37    <DIR>          Viewpoint
10-03-2006  16:30    <DIR>          Windows Genuine Advantage
10-12-2006  18:04    <DIR>          Yahoo! Companion
              1 fil(er)            1.747 byte
              16 mappe(r)  1.483.104.256 byte ledig
Disken i drev C har ikke noget navn.
Diskens serienummer er F404-ED84

Indhold af C:\Documents and Settings\Familie\Application Data

10-04-2005  14:22    <DIR>          Adobe
06-01-2005  15:05    <DIR>          Apple Computer
12-09-2004  14:47    <DIR>          ATI
04-09-2004  20:44    <DIR>          EBookSys
26-10-2006  14:04    <DIR>          Google
21-05-2004  12:31    <DIR>          Identities
24-02-2005  17:29    <DIR>          InstallShield
02-02-2005  19:43    <DIR>          InstallShield Installation Information
24-07-2004  20:33    <DIR>          Kontiki
12-02-2005  14:16    <DIR>          Lavasoft
10-03-2005  17:33    <DIR>          Macromedia
21-12-2006  13:13    <DIR>          MessengerPlus! 3
27-08-2004  14:58    <DIR>          MyPrivacy
23-03-2005  13:12    <DIR>          Real
24-06-2004  18:52    <DIR>          Sun
              0 fil(er)                0 byte
              15 mappe(r)  1.483.104.256 byte ledig
Disken i drev C har ikke noget navn.
Diskens serienummer er F404-ED84

Indhold af C:\Documents and Settings\Jonas_2\Application Data

19-11-2006  18:43    <DIR>          Adobe
27-04-2005  19:10    <DIR>          AdobeUM
24-01-2006  21:25    <DIR>          Apple Computer
12-09-2004  13:43    <DIR>          ATI
22-12-2006  12:11    <DIR>          Azureus
21-12-2006  13:09    <DIR>          BullGuard
21-12-2006  14:31    <DIR>          ChinSurf
25-07-2006  17:23    <DIR>          Cryptomathic
01-12-2006  21:29    <DIR>          DivX
30-10-2005  12:04    <DIR>          Gearbox Software
15-10-2006  12:44    <DIR>          Google
04-07-2004  10:41    <DIR>          Help
13-06-2004  18:35    <DIR>          Identities
15-10-2006  17:16    <DIR>          IGN_DLM
27-07-2004  16:04    <DIR>          Kontiki
12-09-2004  14:30    <DIR>          Lavasoft
10-11-2004  19:21    <DIR>          Macromedia
04-11-2006  13:27    <DIR>          MSN6
31-08-2004  15:39    <DIR>          MyPrivacy
22-12-2006  10:33    <DIR>          Real
13-06-2004  20:55    <DIR>          Sun
15-05-2006  20:32    <DIR>          SUPERAntiSpyware.com
02-12-2006  21:27    <DIR>          Symantec
21-12-2006  14:25    <DIR>          TorrentSoftware
              0 fil(er)                0 byte
              24 mappe(r)  1.483.104.256 byte ledig
Disken i drev C har ikke noget navn.
Diskens serienummer er F404-ED84

Indhold af C:\Documents and Settings\Default User\Application Data

18-05-2004  19:04    <DIR>          .
18-05-2004  19:04    <DIR>          ..
18-05-2004  19:04                62 desktop.ini
              1 fil(er)              62 byte
              2 mappe(r)  1.483.104.256 byte ledig
Disken i drev C har ikke noget navn.
Diskens serienummer er F404-ED84

Indhold af C:\Documents and Settings\LocalService\Application Data

Disken i drev C har ikke noget navn.
Diskens serienummer er F404-ED84

Indhold af C:\Documents and Settings\NetworkService\Application Data

[TRACE] Enumerating jobs and queues



schtasks kom der ikke meget ud af:

OPLYSNING: Der er ingen planlagte opgaver i systemet.


Håber du kan finde skidtet, så jeg ikke skal døje med de popups længere. På forhånd tak.

Mener desuden aldrig at jeg har installeret messenger plus...er dog ikke 100% sikker, men pt. bruger jeg alm. MSN Messenger...

Smid resterne af Norton ud med de tre filer nævnt her:
http://service1.symantec.com/SUPPORT/sharedtech.nsf/docid/2006031710323113?Open&src=&docid=2005033108162039&nsf=tsgeninfo.nsf&view=docid&dtype=&prod=&ver=&osv=&osv_lvl=&seg

Genstart.
---------------------------------------
Hent og installer denne scanner:
http://www.superantispyware.com/downloads/SUPERAntiSpyware1241.exe

Start programmet, klik på Check for updates, når det er opdateret, luk programmet, du skal ikke scanne endnu.
---------------------------------------
Kør Hijackthis, scan, sæt flueben ved linierne listet her, luk alle vinduer undtaget Hijackthis, klik på fix checked, genstart i fejlsikret (tryk på <F8> under opstarten), slet mapper og filer listet længere nede.

O4 - HKLM\..\Run: [PingInterDupeMeta] C:\Documents and Settings\All Users\Application Data\AmenThirdPingInter\htm deaf.exe
O4 - HKCU\..\Run: [STOPACTIVE] C:\DOCUME~1\Jonas_2\APPLIC~1\ChinSurf\audioaxisowns.exe
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
---------------------------------------
Sletning af \mapper\ og filer:
Åbn Stifinder, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".
-------------------
Mapper:
C:\Documents and Settings\All Users\Application Data\AmenThirdPingInter\
C:\Documents and Settings\Jonas_2\Application Data\ChinSurf\
C:\Documents and Settings\Familie\Application Data\MessengerPlus! 3\ <<< Bingo
-------------------
Filer:
Ingen.
---------------------------------------
Start SuperAntiSpyware, klik på Scan your Computer, sæt flueben i de drev der skal scannes.
(Fixed disk betyder harddisk)
Flyt prikken til Perform complete scan og klik på Næste, så kører scanningen.

Når den er færdig kommer der et vindue med en opsummering, klik på OK, klik så på næste og så på Udfør.

Der kommer et vindue med Quarantine and removal Complete, klik på OK, klik på Udfør.
Luk programmet, genstart normalt.

Start programmet igen, klik på Preferences, skift til fanebladet Statistics/Logs, i vinduet dobbeltklikker du på SUPERAntiSpyware Scan Log, den åbner i notesblok, kopier resultatet herind.

Vi skal også se en frisk hijackthislog.

Ny hijackthis log:

Logfile of HijackThis v1.99.1
Scan saved at 15:06:36, on 23-12-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Java\jre1.5.0_03\bin\jusched.exe
C:\Programmer\ATI Technologies\ATI.ACE\cli.exe
C:\Programmer\Messenger\msmsgs.exe
D:\Programmer\BullGuard Software\BullGuard\bullguard.exe
D:\Programmer\BullGuard Software\BullGuard\BullGuardUpdate.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Programmer\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\Programmer\SUPERAntiSpyware\SUPERANTISPYWARE.EXE
C:\Documents and Settings\Jonas_2\Skrivebord\Hijack\Rydlortet.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tv2.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmer\google\googletoolbar1.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmer\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\da\msntb.dll (file missing)
O3 - Toolbar: ImageShack Toolbar - {6932D140-ABC4-4073-A44C-D4A541665E35} - C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programmer\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [BullGuard] "D:\Programmer\BullGuard Software\BullGuard\bullguard.exe" -boot
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmer\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [BullGuard] "D:\Programmer\BullGuard Software\BullGuard\bullguard.exe"
O4 - Global Startup: HotKey.lnk = C:\Programmer\TEXTware\HotKey\Twalink.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programmer\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Download alle med Net Transport - C:\Programmer\Xi\NetTransport 2\NTAddList.html
O8 - Extra context menu item: Download med Net Transport - C:\Programmer\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: Post Image to Blog - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5003
O8 - Extra context menu item: Tag This Image - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5002
O8 - Extra context menu item: Upload All Images to ImageShack - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5000
O8 - Extra context menu item: Upload Image to ImageShack - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5001
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O15 - Trusted Zone: http://toolbar.imageshack.us
O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://downol.dr.dk/download/netradio/Rawflow.cab
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} - https://components.viewpoint.com/adobe/MTSInstallers/MetaStream3.cab?url=http://www.irobotmovie.com/english/atmosphere/index.html
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_2.3.1.99.cab
O16 - DPF: {6932D140-ABC4-4073-A44C-D4A541665E35} (ImageShack Toolbar) - http://toolbar.imageshack.us/toolbar/ImageShackToolbar.cab
O16 - DPF: {D216644A-C6DB-49D9-BBCF-D38FE7991BF2} (Util Class) - https://udstedelse.certifikat.tdc.dk/csp/authenticode/tdccsp-0506.exe
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O16 - DPF: {DEADBEEF-DEAD-BEEF-DEAD-BEEFDEADBEEF} - http://www.haptek.com/products/player/autoinstall/data/latest.cab
O16 - DPF: {F54C1137-5E34-4B95-95A5-BA56D4D8D743} (Secure Delivery) - http://www.gamespot.com/KDX/kdx.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Programmer\SUPERAntiSpyware\SASWINLO.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Automatisk LiveUpdate-planlægning - Unknown owner - C:\Programmer\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: BullGuard LiveUpdate (BGLiveSvc) - BullGuard Software - D:\Programmer\BullGuard Software\BullGuard\BullGuardUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmer\Fælles filer\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programmer\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programmer\Fælles filer\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Omniquad MyPrivacy - Unknown owner - C:\Programmer\Omniquad MyPrivacy\MyPrivacy\mpsvc.exe



Og loggen fra SuperAntiSpyware:


SUPERAntiSpyware Scan Log
Generated 12/23/2006 at 02:59 PM

Application Version : 3.4.1000

Core Rules Database Version : 2932
Trace Rules Database Version: 1051

Scan type      : Complete Scan
Total Scan Time : 00:16:31

Memory items scanned      : 193
Memory threats detected  : 0
Registry items scanned    : 4264
Registry threats detected : 0
File items scanned        : 29506
File threats detected    : 27

Adware.Tracking Cookie
    C:\Documents and Settings\Jonas_2\Cookies\jonas_2@indextools[2].txt
    C:\Documents and Settings\Jonas_2\Cookies\jonas_2@adultfriendfinder[2].txt
    C:\Documents and Settings\Jonas_2\Cookies\jonas_2@cassava[1].txt
    C:\Documents and Settings\Jonas_2\Cookies\jonas_2@as-eu.falkag[1].txt
    C:\Documents and Settings\Jonas_2\Cookies\jonas_2@ad.yieldmanager[1].txt
    C:\Documents and Settings\Jonas_2\Cookies\jonas_2@partypoker[2].txt
    C:\Documents and Settings\Jonas_2\Cookies\jonas_2@tradedoubler[1].txt
    C:\Documents and Settings\Jonas_2\Cookies\jonas_2@87503916[1].txt
    C:\Documents and Settings\Jonas_2\Cookies\jonas_2@adtech[2].txt
    C:\Documents and Settings\Jonas_2\Cookies\jonas_2@server.iad.liveperson[2].txt
    C:\Documents and Settings\Jonas_2\Cookies\jonas_2@cgi-bin[2].txt
    C:\Documents and Settings\Jonas_2\Cookies\jonas_2@doubleclick[1].txt
    C:\Documents and Settings\Jonas_2\Cookies\jonas_2@clicktorrent[2].txt
    C:\Documents and Settings\Jonas_2\Cookies\jonas_2@mediaplex[1].txt
    C:\Documents and Settings\Jonas_2\Cookies\jonas_2@track.adform[2].txt
    C:\Documents and Settings\Jonas_2\Cookies\jonas_2@adfair[2].txt
    C:\Documents and Settings\Jonas_2\Cookies\jonas_2@atdmt[2].txt
    C:\Documents and Settings\Jonas_2\Cookies\jonas_2@statcounter[1].txt
    C:\Documents and Settings\Jonas_2\Cookies\jonas_2@www.888[1].txt
    C:\Documents and Settings\Jonas_2\Cookies\jonas_2@888[1].txt
    C:\Documents and Settings\Jonas_2\Cookies\jonas_2@media.fastclick[1].txt
    C:\Documents and Settings\Jonas_2\Cookies\jonas_2@overture[2].txt
    C:\Documents and Settings\Jonas_2\Cookies\jonas_2@stat.onestat[2].txt
    C:\Documents and Settings\Jonas_2\Cookies\jonas_2@ilead.itrack[2].txt
    C:\Documents and Settings\Jonas_2\Cookies\jonas_2@xiti[1].txt
    C:\Documents and Settings\Jonas_2\Cookies\jonas_2@partygaming.122.2o7[1].txt
    C:\Documents and Settings\Jonas_2\Cookies\jonas_2@fastclick[2].txt

Klik på Start->Kør skriv Services.msc og klik OK.
Find Tjenesten >>  Automatisk LiveUpdate-planlægning << stop den hvis den kører, højreklik på den, klik på Egenskaber og vælg Starttype Deaktiveret.

Fixes med Hijackthis:
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmer\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\da\msntb.dll (file missing)
Genstart.

Så er din log ren, vi behøver ikke at se flere.
Du bør lige deaktivere systemgendannelse, genstarte og genaktivere samt sætte filvisning til normal.
http://spywarefri.dk/virusscannere.htm#alle - Systemgendannelse.
Åbn en mappe, klik på Funktioner >Mappeindstillinger >Vis.
Sæt flueben ved "Skjul beskyttede operativsystemfiler".
Sæt flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis ikke skjulte filer og mapper".

For at holde den ren kan du kigge på vores pakke til formålet.
http://www.spywarefri.dk/manualer/sikkerhedspakke.htm
Som minimum anbefaler jeg Spywareguard, Spywareblaster, IE-Spyad og IE Privacy Keeper.
Et par artikler om sikker surfing finder du her:
http://www.spywarefri.dk/forum/topic.asp?TOPIC_ID=14414
http://fromsej.dk/html/avoid.html
Mvh:
Fromsej/Team Spywarefri.

Tak for hjælpen :)

Velbekomme, tak for point. :-)

Glædelig jul.*S*