mboost-dp1
Irriterende popup
Er så uheldig at jeg på en eller anden måde har fået installeret noget l*rt der gør at et Internet Explorer vindue popper op med følgende URL i sig: http://dk.darkorbit.bigpoint.com/?aid=929&aig=... - Det er et spil ved navn "DARKORBIT" og selvom jeg browser rundt i Firefox kommer der nogle gange dette IE popup op.
Jeg har selvfølgelig kontaktet firmaet bag (de har en dansk support e-mail adr.) for at høre hvad fårk der sker. Er der nogen herinde der har været ude for noget lign. og evt. forslag til hvad der kan gøres for at fjerne det modtages gerne.
Jeg har kørt Spybot og fjernet det den fandt, herudover har jeg kørt HijackThis og fjernede et par mistænkelige ting deri, men det har øjensynligt ikke hjulpet.
Jeg har selvfølgelig kontaktet firmaet bag (de har en dansk support e-mail adr.) for at høre hvad fårk der sker. Er der nogen herinde der har været ude for noget lign. og evt. forslag til hvad der kan gøres for at fjerne det modtages gerne.
Jeg har kørt Spybot og fjernet det den fandt, herudover har jeg kørt HijackThis og fjernede et par mistænkelige ting deri, men det har øjensynligt ikke hjulpet.
#4 Jeg fjernede AVG8 og installerede Avira AntiVir og den fandt nogle ting. Dernæst scannede jeg nogle gange med Spybot. Sidstnævnte hjalp ikke rigtigt. Men HijackThis fandt nogle suspekte ting jeg fjernede og det har åbenbart virkede.
Troede måske jeg havde en rootkit installeret, men 3 forskellige scannere fandt ingen rootkits.
Jeg tror udslaget var antivirus skiftet kombineret med HijackThis. Prøv at post en HijackThis log herinde også kan jeg se om jeg kan genkende nogle af tingene.
Der er desuden også nogle gratis online scannere. Både Trendmicro og F-Secure tilbyder det, og dem kan du starte med at prøve og se om de kan finde noget.
Troede måske jeg havde en rootkit installeret, men 3 forskellige scannere fandt ingen rootkits.
Jeg tror udslaget var antivirus skiftet kombineret med HijackThis. Prøv at post en HijackThis log herinde også kan jeg se om jeg kan genkende nogle af tingene.
Der er desuden også nogle gratis online scannere. Både Trendmicro og F-Secure tilbyder det, og dem kan du starte med at prøve og se om de kan finde noget.
#7: hehe ja, fik et par gange også en popup der påstod at mit C-drev var defekt og at jeg fluks skulle hente deres "Antivirus 2008" program. Den viste endda det der skulle ligne vinduet "Min computer" hvilket var meget snedigt, med den mindre detalje at nogle af mine drev manglede :o
Utroligt at nogen kan hoppe på sådan noget - ej ok, er det så ikke (skal ikke spejde længere væk end min egen kæreste)
Utroligt at nogen kan hoppe på sådan noget - ej ok, er det så ikke (skal ikke spejde længere væk end min egen kæreste)
Har det samme problem som dig, så håber du kan hjælpe.
En lille HijackThis log:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:43:50, on 18-08-2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programmer\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Programmer\Cyberlink\Shared Files\brs.exe
C:\Programmer\cFosSpeed\cFosSpeed.exe
C:\Programmer\Fælles filer\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programmer\D-Tools\daemon.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Programmer\Bonjour\mDNSResponder.exe
C:\Programmer\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programmer\cFosSpeed\spd.exe
C:\Programmer\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmer\CyberLink\PowerDVD8\PDVD8Serv.exe
C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
C:\Programmer\Fælles filer\Nero\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programmer\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\Programmer\Fælles filer\Nero\Lib\NMIndexingService.exe
C:\Programmer\Fælles filer\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Programmer\Fælles filer\Nero\Lib\NMIndexStoreSvr.exe
C:\Programmer\iPod\bin\iPodService.exe
C:\Programmer\Windows Live\Messenger\usnsvc.exe
C:\Documents and Settings\Søren Lundager\Application Data\Microsoft\Internet Explorer\Quick Launch\utorrent.exe
C:\Programmer\Lavasoft\Ad-Aware\aawservice.exe
C:\Programmer\Winamp\winamp.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Programmer\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.xplayn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Fælles filer\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programmer\AVG\AVG8\avgssie.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmer\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmer\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmer\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programmer\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programmer\Fælles filer\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [BDRegion] C:\Programmer\Cyberlink\Shared Files\brs.exe
O4 - HKLM\..\Run: [cFosSpeed] C:\Programmer\cFosSpeed\cFosSpeed.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmer\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Genvej til egenskabsside for High Definition Audio] HDAShCut.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programmer\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmer\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PDVD8LanguageShortcut] C:\Programmer\CyberLink\PowerDVD8\Language\Language.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RemoteControl8] C:\Programmer\CyberLink\PowerDVD8\PDVD8Serv.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmer\Fælles filer\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmer\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [A00FD4B03.exe] C:\DOCUME~1\SRENLU~1\LOKALE~1\Temp\_A00FD4B03.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKAL TJENESTE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETVÆRKSTJENESTE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Konverter hyperlinkdestination til Adobe PDF - res://C:\Programmer\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Konverter hyperlinkdestination til eksisterende PDF - res://C:\Programmer\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Konverter markering til Adobe PDF - res://C:\Programmer\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Konverter markering til eksisterende PDF-fil - res://C:\Programmer\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Konverter til Adobe PDF - res://C:\Programmer\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Konverter valgte hyperlinks til Adobe PDF - res://C:\Programmer\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Konverter valgte hyperlinks til eksisterende PDF - res://C:\Programmer\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Tilføj til eksisterende PDF - res://C:\Programmer\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Send til OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end til OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programmer\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programmer\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: TvGuide - {E6850551-1B82-47cd-BBF3-8E7D6099F9B3} - www.tvguide.dk (file missing)
O9 - Extra 'Tools' menuitem: TvGuide.dk - {E6850551-1B82-47cd-BBF3-8E7D6099F9B3} - www.tvguide.dk (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.srtest.com/srl_bin/sysreqlab3.cab
O16 - DPF: {3D2CB570-D425-11D5-ABD0-00008369C46F} (CSMenu Class) - https://netbank.danskebank.dk/html/activex/DB/Menu...
O16 - DPF: {5C6698D9-7BE4-4122-8EC5-291D84DBD4A0} (Facebook Photo Uploader 4 Control) - http://upload.facebook.com/controls/FacebookPhotoU...
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.systemrequirementslab.com/sysreqlab2.ca...
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin....
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/ca...
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safek...
O16 - DPF: {E862C832-3A5F-4CEB-BFAA-167B22010A71} (InfosFinder2.InfosFinder) - http://support.packardbell.com/files/activex/Infos...
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programmer\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O20 - Winlogon Notify: __c007DB - C:\WINDOWS\system32\__c007DB.dat
O20 - Winlogon Notify: __c00AA836 - C:\WINDOWS\system32\__c00AA836.dat (file missing)
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programmer\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programmer\Fælles filer\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Bonjour-tjeneste (Bonjour Service) - Apple Inc. - C:\Programmer\Bonjour\mDNSResponder.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: cFosSpeed System Service (cFosSpeedS) - cFos Software GmbH - C:\Programmer\cFosSpeed\spd.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programmer\Fælles filer\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmer\Fælles filer\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-tjeneste (iPod Service) - Apple Inc. - C:\Programmer\iPod\bin\iPodService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmer\Fælles filer\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programmer\WinPcap\rpcapd.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
--
End of file - 12149 bytes
En lille HijackThis log:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:43:50, on 18-08-2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programmer\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Programmer\Cyberlink\Shared Files\brs.exe
C:\Programmer\cFosSpeed\cFosSpeed.exe
C:\Programmer\Fælles filer\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programmer\D-Tools\daemon.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Programmer\Bonjour\mDNSResponder.exe
C:\Programmer\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programmer\cFosSpeed\spd.exe
C:\Programmer\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmer\CyberLink\PowerDVD8\PDVD8Serv.exe
C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
C:\Programmer\Fælles filer\Nero\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programmer\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\Programmer\Fælles filer\Nero\Lib\NMIndexingService.exe
C:\Programmer\Fælles filer\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Programmer\Fælles filer\Nero\Lib\NMIndexStoreSvr.exe
C:\Programmer\iPod\bin\iPodService.exe
C:\Programmer\Windows Live\Messenger\usnsvc.exe
C:\Documents and Settings\Søren Lundager\Application Data\Microsoft\Internet Explorer\Quick Launch\utorrent.exe
C:\Programmer\Lavasoft\Ad-Aware\aawservice.exe
C:\Programmer\Winamp\winamp.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Programmer\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.xplayn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Fælles filer\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programmer\AVG\AVG8\avgssie.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmer\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmer\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmer\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programmer\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programmer\Fælles filer\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [BDRegion] C:\Programmer\Cyberlink\Shared Files\brs.exe
O4 - HKLM\..\Run: [cFosSpeed] C:\Programmer\cFosSpeed\cFosSpeed.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmer\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Genvej til egenskabsside for High Definition Audio] HDAShCut.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programmer\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmer\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PDVD8LanguageShortcut] C:\Programmer\CyberLink\PowerDVD8\Language\Language.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RemoteControl8] C:\Programmer\CyberLink\PowerDVD8\PDVD8Serv.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmer\Fælles filer\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmer\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [A00FD4B03.exe] C:\DOCUME~1\SRENLU~1\LOKALE~1\Temp\_A00FD4B03.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKAL TJENESTE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETVÆRKSTJENESTE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Konverter hyperlinkdestination til Adobe PDF - res://C:\Programmer\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Konverter hyperlinkdestination til eksisterende PDF - res://C:\Programmer\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Konverter markering til Adobe PDF - res://C:\Programmer\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Konverter markering til eksisterende PDF-fil - res://C:\Programmer\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Konverter til Adobe PDF - res://C:\Programmer\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Konverter valgte hyperlinks til Adobe PDF - res://C:\Programmer\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Konverter valgte hyperlinks til eksisterende PDF - res://C:\Programmer\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Tilføj til eksisterende PDF - res://C:\Programmer\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Send til OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end til OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programmer\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programmer\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: TvGuide - {E6850551-1B82-47cd-BBF3-8E7D6099F9B3} - www.tvguide.dk (file missing)
O9 - Extra 'Tools' menuitem: TvGuide.dk - {E6850551-1B82-47cd-BBF3-8E7D6099F9B3} - www.tvguide.dk (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.srtest.com/srl_bin/sysreqlab3.cab
O16 - DPF: {3D2CB570-D425-11D5-ABD0-00008369C46F} (CSMenu Class) - https://netbank.danskebank.dk/html/activex/DB/Menu...
O16 - DPF: {5C6698D9-7BE4-4122-8EC5-291D84DBD4A0} (Facebook Photo Uploader 4 Control) - http://upload.facebook.com/controls/FacebookPhotoU...
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.systemrequirementslab.com/sysreqlab2.ca...
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin....
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/ca...
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safek...
O16 - DPF: {E862C832-3A5F-4CEB-BFAA-167B22010A71} (InfosFinder2.InfosFinder) - http://support.packardbell.com/files/activex/Infos...
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programmer\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O20 - Winlogon Notify: __c007DB - C:\WINDOWS\system32\__c007DB.dat
O20 - Winlogon Notify: __c00AA836 - C:\WINDOWS\system32\__c00AA836.dat (file missing)
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programmer\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programmer\Fælles filer\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Bonjour-tjeneste (Bonjour Service) - Apple Inc. - C:\Programmer\Bonjour\mDNSResponder.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: cFosSpeed System Service (cFosSpeedS) - cFos Software GmbH - C:\Programmer\cFosSpeed\spd.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programmer\Fælles filer\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmer\Fælles filer\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-tjeneste (iPod Service) - Apple Inc. - C:\Programmer\iPod\bin\iPodService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmer\Fælles filer\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programmer\WinPcap\rpcapd.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
--
End of file - 12149 bytes
Det er ikke så svært.
1.
Åben din Task manager, og kig på de kørende processer.
Er der en af processerne du ikke kender, kan du slå den op på google - er der en plausibel forklaring kan du gå videre.
2.
Er du i tvivl, så kan du lukke processen, og se hvad der sker.
3.
Finder du en proces der ikke hører hjemme så luk den
4.
Søg derefter i din registreringsdatabase efter filen - alle indslag skal slettes. Finder du den i registreringsdatabsen, kan du se hvor på disken den ligger
5.
Find filen og flyt den i karantæne hvis du stadig er i tvivl - hvis du ikke er i tvivl, så slet filen.
Jeg fandt nogle processer der hed 8-9 vilkårlige tegn, såsom: kjYn8Fsc.exe
Efter at have lokaliseret dem, og fjernet dem fra både disken og registreringsdatabasen, har jeg været fri for irriterende popups.
Tip:
Gider du ikke se på hjemmesiden den popper op med, går du ind i:
C:\Windows\System32\Drivers\etc\hosts (åbnes med notepad)
Og skriver eks:
127.0.0.1 www.partypoker.com
Når maskinen forsøger slå www.partypoker.com op i DNS'en, starter den med at kigge i hosts-filen, hvor indslaget står. 127.0.0.1 er localhost, derfor vil popup fører til en tom side...
Du kan passende smide links som 777.com, gator.com og hvad der ellers findes af lignende irriterende ting, ind i din host-fil.
1.
Åben din Task manager, og kig på de kørende processer.
Er der en af processerne du ikke kender, kan du slå den op på google - er der en plausibel forklaring kan du gå videre.
2.
Er du i tvivl, så kan du lukke processen, og se hvad der sker.
3.
Finder du en proces der ikke hører hjemme så luk den
4.
Søg derefter i din registreringsdatabase efter filen - alle indslag skal slettes. Finder du den i registreringsdatabsen, kan du se hvor på disken den ligger
5.
Find filen og flyt den i karantæne hvis du stadig er i tvivl - hvis du ikke er i tvivl, så slet filen.
Jeg fandt nogle processer der hed 8-9 vilkårlige tegn, såsom: kjYn8Fsc.exe
Efter at have lokaliseret dem, og fjernet dem fra både disken og registreringsdatabasen, har jeg været fri for irriterende popups.
Tip:
Gider du ikke se på hjemmesiden den popper op med, går du ind i:
C:\Windows\System32\Drivers\etc\hosts (åbnes med notepad)
Og skriver eks:
127.0.0.1 www.partypoker.com
Når maskinen forsøger slå www.partypoker.com op i DNS'en, starter den med at kigge i hosts-filen, hvor indslaget står. 127.0.0.1 er localhost, derfor vil popup fører til en tom side...
Du kan passende smide links som 777.com, gator.com og hvad der ellers findes af lignende irriterende ting, ind i din host-fil.
9 skrev:Har det samme problem som dig, så håber du kan hjælpe.
En lille HijackThis log:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:43:50, on 18-08-2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal
[SNIP}
Følgende skal du fjerne efter min mening:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.xplayn.com
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKCU\..\Run: [A00FD4B03.exe] C:\DOCUME~1\SRENLU~1\LOKALE~1\Temp\_A00FD4B03.exe
O20 - Winlogon Notify: __c007DB - C:\WINDOWS\system32\__c007DB.dat
O20 - Winlogon Notify: __c00AA836 - C:\WINDOWS\system32\__c00AA836.dat (file missing)
Jeg havde selv en entry der lignede de 2 sidste her, dog med en anden .dat fil (den hed noget andet men samme navnform).
#12 Husk at slet filen A00FD4B03.exe fra din maskine, og prop www.xplayn.com ind i din host-fil.
...du ved, som jeg beskrev lige over dit indlæg!
...du ved, som jeg beskrev lige over dit indlæg!
#13 Jo tak - jeg er selv sluppet af med problemet (har hvertfald ikke set nogen popups i et par dage nu) og er ret sikker på at de "O20" elementer havde noget med sagen at gøre.
Ellers et godt tip detmed host filen, den vil jeg huske.
Ellers et godt tip detmed host filen, den vil jeg huske.
12 skrev:9 skrev:Har det samme problem som dig, så håber du kan hjælpe.
En lille HijackThis log:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:43:50, on 18-08-2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal
[SNIP}
Følgende skal du fjerne efter min mening:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.xplayn.com
Ja, undskyld. Havde helt glemt hvad xplayn.com er, så den skal du selvfølgelig ikke slette da den hjemmeside er fin nok at have som startsiden :-) My bad...
#14 Det som jeg prøver at sige, er at dit indlæg er alt for specifikt.
Det der popup-show er et program med et random-navn der dukker op, med nogle spøjse indslag i registreringsdatabasen.
Problemet er meget enkelt, at andre ikke kan bruge dit indslag til noget, fordi det drejer sig om hvad programmet kaldte sig på din maskine...
Hvis du spørger mig, er sådan noget som #9 decideret spam, og kun med til at forvirre folk på et højere plan.
Det der popup-show er et program med et random-navn der dukker op, med nogle spøjse indslag i registreringsdatabasen.
Problemet er meget enkelt, at andre ikke kan bruge dit indslag til noget, fordi det drejer sig om hvad programmet kaldte sig på din maskine...
Hvis du spørger mig, er sådan noget som #9 decideret spam, og kun med til at forvirre folk på et højere plan.
#16 Ja, det er specifikt fordi jeg havde et specifikt problem. Den fremgangsmåde du skriver er fin nok, men duer ikke i alle tilfælde. I mit tilfælde var der ingen kørende processer der var suspekte, og det samme vil jeg påstå er tilfældet i #9's tilfælde.
Ikke alle slemme ting er at finde i registreringsdatabasen som du skriver, men mange af dem er at finde i regdb'en. Dermed ikke sagt at det er nok at slette nøglen i regdb'en, lukke processen og slette filen. Noget malware er mere snu end som så desværre.
Der er da nogle der kan bruge dette indlæg til noget og dem er der allerede 2 af som har tilkendegivet at de har lignende problem. Det er fint med et generelt indlægsom dit, men når patienten tager til lægen og siger "jeg hoster og har ondt" så siger lægen ikke "der er mange ting der kan være skyld i at du hoster og har ondt, her er en brochure om det". Nej, han finder ud hvad specifikt det er der er galt. Og her gør jeg det samme.
At kalde #9 for spam er at presse citronen for meget. Det er trodsalt noget der skal bruges for at hjælpe. Denne diskussion vi har kørende os to er udtryk for to forskellige meninger, og jeg mener ikke at denne tråd er stedet at diskutere det - det er med til at forvirre IMHO :-)
Ikke alle slemme ting er at finde i registreringsdatabasen som du skriver, men mange af dem er at finde i regdb'en. Dermed ikke sagt at det er nok at slette nøglen i regdb'en, lukke processen og slette filen. Noget malware er mere snu end som så desværre.
Der er da nogle der kan bruge dette indlæg til noget og dem er der allerede 2 af som har tilkendegivet at de har lignende problem. Det er fint med et generelt indlægsom dit, men når patienten tager til lægen og siger "jeg hoster og har ondt" så siger lægen ikke "der er mange ting der kan være skyld i at du hoster og har ondt, her er en brochure om det". Nej, han finder ud hvad specifikt det er der er galt. Og her gør jeg det samme.
At kalde #9 for spam er at presse citronen for meget. Det er trodsalt noget der skal bruges for at hjælpe. Denne diskussion vi har kørende os to er udtryk for to forskellige meninger, og jeg mener ikke at denne tråd er stedet at diskutere det - det er med til at forvirre IMHO :-)
Jeg vil gætte på at folk over hos spywarefri.dk er rigtigt gode til at hjælpe med at komme af med denne type nasty spywarefri. der er også nogle rigtigt gode speciel værktøj.
Især denne tråd er rigtigt god:
http://www.spywarefri.dk/forum/links/hjtanv.htm
havde iøvrigt engang et problem med et lignende popup vindue hos en ven, som ingen antispyware programmer kunne finde, men opdaget senere at popup vindues navn faktisk afslørede sig selv, og prøvede google efter det, og så blev det fjernet.
ingen nævnte programmer på tråden her er så vidt jeg ved kan finde rootkits?
[EDIT]
Husk at fjerne eventuelle fildelings programmer, ellers vil de ikke hjælpe (det er deres politik). I denne tilfælder synes at der er ingen af dem installeteret.
[/EDIT]
Især denne tråd er rigtigt god:
http://www.spywarefri.dk/forum/links/hjtanv.htm
havde iøvrigt engang et problem med et lignende popup vindue hos en ven, som ingen antispyware programmer kunne finde, men opdaget senere at popup vindues navn faktisk afslørede sig selv, og prøvede google efter det, og så blev det fjernet.
ingen nævnte programmer på tråden her er så vidt jeg ved kan finde rootkits?
[EDIT]
Husk at fjerne eventuelle fildelings programmer, ellers vil de ikke hjælpe (det er deres politik). I denne tilfælder synes at der er ingen af dem installeteret.
[/EDIT]
#17 Det er noget rod det du skrivre.
nej - ikke alle slemme ting er i reg-db, men det problem som du beskiver er ligesom et task der bliver startet op, når du starter din PC.
Der er 3 måder du kan starte et task på, hvor reg-db er den hvor det er sværest at finde indslaget, hvorfor det giver bedst mening at gemme sig der.
Det indslag du skriver her:
"O4 - HKCU\..\Run: [A00FD4B03.exe] C:\DOCUME~1\SRENLU~1\LOKALE~1\Temp\_A00FD4B03.exe"
er et indslag i din reg-db der starter programmet 00FD4B03.exe op, og det er det program, der med jævne mellemrum starter din IE op, med et link til en-eller-anden hjemmeside. Programmet kan kun starte IE op på den måde...så længe programmet er aktivt. Sagt på en anden måde, har du ikke noget kørende task, fungere denne her popup-fætter ikke.
Det kan godt være malware er snedigt, men det er sjældent magi. :)
Det der er problemet, og nu gentager jeg mig selv, er at hvis jeg har præcis de samme symptomer som dig, og leder efter A00FD4B03.exe i mig reg-db, så finder jeg højst sandsynligt...ingenting.
Og derfor er du nødt til at gøre tingene mere generelle.
#9 er spam fordi - hvad fortæller det her dig:
Jeg ved ikke hvad du får ud af det, men jeg synes det er ret irrelevant. Man kan som minimum klippe i det, eller hvis man er i tvivl, så spørger om det vil hjælpe hvis an smider et dump af sin reg-db.
Og nu vi er ved det, det kan godt være at det du skriver vil løse hans problem...eller ihvertilfald det problem han har har et reg-db dump af, men hvad med det problem han får om 2 dage, hvor han bliver inficeret igen, eller de 2 andre lignede malware-prgrammer han også har kørende...?
Det er altså nemmere at lære folk hvad de skal kunne, for selv at kunne feljsøge og rette, end at sidde og læse reg-dumps i et forum...!
Mht din analog (disse er ofte ubrugelige).
Der findes et bestemt problem, jeg kommer med en løsning der fortæller hvordan du håndtere lige præcis det ene problem.
Løsningen kan ikke bruges til at finde alle mulige hemmelige vira med, eller malware der gemmer sig som iexplorer.exe - det kan kun løse dette ene problem. Men du mener det er for generelt, til trods for at jeg forklarer dig at filnavne og reg-DB entries er unikke for din maskine...
Hvis de ikke skiftede navn, men bare hed malware.exe - så ville virusscanneren have det ret nemt med at finde skidtet, nu skal den kigge efter alle .exe-filer, og fortolke på indholdet af filen, hvilket komplicere processen betydeligt.
nej - ikke alle slemme ting er i reg-db, men det problem som du beskiver er ligesom et task der bliver startet op, når du starter din PC.
Der er 3 måder du kan starte et task på, hvor reg-db er den hvor det er sværest at finde indslaget, hvorfor det giver bedst mening at gemme sig der.
Det indslag du skriver her:
"O4 - HKCU\..\Run: [A00FD4B03.exe] C:\DOCUME~1\SRENLU~1\LOKALE~1\Temp\_A00FD4B03.exe"
er et indslag i din reg-db der starter programmet 00FD4B03.exe op, og det er det program, der med jævne mellemrum starter din IE op, med et link til en-eller-anden hjemmeside. Programmet kan kun starte IE op på den måde...så længe programmet er aktivt. Sagt på en anden måde, har du ikke noget kørende task, fungere denne her popup-fætter ikke.
Det kan godt være malware er snedigt, men det er sjældent magi. :)
Det der er problemet, og nu gentager jeg mig selv, er at hvis jeg har præcis de samme symptomer som dig, og leder efter A00FD4B03.exe i mig reg-db, så finder jeg højst sandsynligt...ingenting.
Og derfor er du nødt til at gøre tingene mere generelle.
#9 er spam fordi - hvad fortæller det her dig:
\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Konverter valgte hyperlinks til Adobe PDF - res://C:\Programmer\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Konverter valgte hyperlinks til eksisterende PDF - res://C:\Programmer\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Tilføj til eksisterende PDF - res://C:\Programmer\Adobe\Acrobat 8.0
Jeg ved ikke hvad du får ud af det, men jeg synes det er ret irrelevant. Man kan som minimum klippe i det, eller hvis man er i tvivl, så spørger om det vil hjælpe hvis an smider et dump af sin reg-db.
Og nu vi er ved det, det kan godt være at det du skriver vil løse hans problem...eller ihvertilfald det problem han har har et reg-db dump af, men hvad med det problem han får om 2 dage, hvor han bliver inficeret igen, eller de 2 andre lignede malware-prgrammer han også har kørende...?
Det er altså nemmere at lære folk hvad de skal kunne, for selv at kunne feljsøge og rette, end at sidde og læse reg-dumps i et forum...!
Mht din analog (disse er ofte ubrugelige).
Der findes et bestemt problem, jeg kommer med en løsning der fortæller hvordan du håndtere lige præcis det ene problem.
Løsningen kan ikke bruges til at finde alle mulige hemmelige vira med, eller malware der gemmer sig som iexplorer.exe - det kan kun løse dette ene problem. Men du mener det er for generelt, til trods for at jeg forklarer dig at filnavne og reg-DB entries er unikke for din maskine...
Hvis de ikke skiftede navn, men bare hed malware.exe - så ville virusscanneren have det ret nemt med at finde skidtet, nu skal den kigge efter alle .exe-filer, og fortolke på indholdet af filen, hvilket komplicere processen betydeligt.
#18 Der er ikke snakke om rootkits her, men blot om et tåbeligt lille program, der ligger sig et tilfædigt sted på computeren, og starter en IE op, med et penge-indbringene link op.
Forfatteren er ikke ude på at ødelægge din pc, men blot at fake du har trykket på et casino-link.
Derfor er det, som sagt blot at finde programmet, og slette det, plus det entry det har lavet i reg-db.
Forfatteren er ikke ude på at ødelægge din pc, men blot at fake du har trykket på et casino-link.
Derfor er det, som sagt blot at finde programmet, og slette det, plus det entry det har lavet i reg-db.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Support
Gå til bund