POP-UP bjælke kommer tit og kan ikke få den væk...

Software d.  22. januar. 2008, skrevet af kbr100
Vist: 423 gange.

kbr100
 
Superbruger
Tilføjet:
22-01-2008 10:37:36
Svar/Indlæg:
313/103
Hej folkens

Min svigerindes computer er begyndt i Explorer at få et pop-up bjælke hvor der står:

Warning: possible spyware or adware infection! Click here to scan your computer for spyware and adware...

Jeg har kørt Lavasoft Antispyware og AVG antispyware samt Norton Antivirus 2008 med antispyware kører nu og har scannet systemet. De har alle 3 fundet ting som skulle fjernes og rettes, men denne pop-up bjælke er der stadig ved hver anden hjemmeside der besøges.

Hvis jeg vælger at klikke på linket i pop-up bjælken blokerer Norton antivirus med henvisning til virus-trussel.

Jeg har endvidere kørt glarysoft registry repair, so reparerede over 200 fejl, vildt!

Nåh, men hvordan kan jeg få explorer på ret køl som den var før uden dette pop-up halløj?

System er winXP pro og explorer 7 er installeret med phishing filter slået til.

Hilsen
Kenneth
OcDevil
 
Elitebruger
Tilføjet:
22-01-2008 10:58:54
Svar/Indlæg:
1262/95
Prøv lige at hent SuperAntiSpyware: http://www.superantispyware.co...

Start spanden i Safe Mode og sørg for der ikke er forbindelse til netværket.

Kør en fuld scan med SuperAntiSpyware

Derudover kan du lige tage et kig i IE7 -> Tools -> Programs -> Manage Addons og se om der er nogle mistænkelige addons der bliver startet sammen med IE7

Du kan med fordel også lige tage en scan med CCleaner:

http://www.filehippo.com/downl...


ZnarF
 
Elitebruger
Tilføjet:
22-01-2008 11:04:33
Svar/Indlæg:
1058/59
Det #1 prøver at sige er den pop-up bjælke ikke er autoriseret men en vires der ligger sig i stedet. Hvis ikke Norton blokerede ville du højst sandsynligt få installeret en virus eller et botnetværk...

Men gør som der bliver foreslået, har ikke rigtig noget at tilføje i den sammenhæng


kbr100
 
Superbruger
Tilføjet:
22-01-2008 12:38:47
Svar/Indlæg:
313/103
Hej

Tak for svaret, fik fjernet 80 spyware mere ved at gøre som #1 foreslog, samt 113MB igennem CCleaner. Desværre er der stadig den pop-up bjælke som nævnt i første indlæg 😕

Kan jeg regne med PC'en er sikker nu, således at netbank og email kan benyttes, dvs. det der forårsager bjælken er irriterende men harmløst?

Håber I måske har et råd mere, ellers tak for hjælpen indtil videre 🙂





ZnarF
 
Elitebruger
Tilføjet:
22-01-2008 12:40:44
Svar/Indlæg:
1058/59
Kan du tage et screenshot af problemet og lægge op (evt. i din profil) så vi kan se den...


kbr100
 
Superbruger
Tilføjet:
22-01-2008 12:52:01
Svar/Indlæg:
313/103
Hej

Jeg har lagt et billede under min profil under "billeder af mit system".

På billedet ses bjælken i den øvre del, og reklamen "congratulations, you are number 999.999..." osv. er også nyt på internettet, og som kommer ved alle hjemmesider.

Mvh
Kenneth


OcDevil
 
Elitebruger
Tilføjet:
22-01-2008 16:17:32
Svar/Indlæg:
1262/95
Hmm...det ligner et browser hijack

Prøv lige dette værktøj:

http://www.merijn.org/files/Hi...

Du kan evt. poste loggen herinde, så kan jeg/vi se om der er noget mistænkeligt.


kbr100
 
Superbruger
Tilføjet:
23-01-2008 09:05:49
Svar/Indlæg:
313/103
Hej

Jeg har sat hele log-filen ind.

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 08:56:19, on 23-01-2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\MICROS~3\GAMECO~1\Common\SWTrayV4.exe
C:\Programmer\Java\jre1.6.0_03\bin\jusched.exe
C:\Programmer\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programmer\Fælles filer\Symantec Shared\ccProxy.exe
C:\Programmer\Fælles filer\Symantec Shared\ccSetMgr.exe
C:\Programmer\Norton Internet Security\ISSVC.exe
C:\Programmer\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Programmer\Fælles filer\Symantec Shared\SNDSrvc.exe
C:\Programmer\Fælles filer\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Fælles filer\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\Kenneth\Lokale indstillinger\Temporary Internet Files\Content.IE5\EWO7F0IM\HiJackThis_v2[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.jp.dk/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink...
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink...
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink...
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink...
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Fælles filer\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmer\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programmer\Fælles filer\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programmer\Fælles filer\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmer\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SideWinderTrayV4] C:\PROGRA~1\MICROS~3\GAMECO~1\Common\SWTrayV4.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmer\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programmer\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Programmer\NVIDIA\nTune\\nTune.exe" clear
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKAL TJENESTE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETVÆRKSTJENESTE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O16 - DPF: {5C6698D9-7BE4-4122-8EC5-291D84DBD4A0} (Facebook Photo Uploader 4 Control) - http://upload.facebook.com/con...
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.co...
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FLLESF~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programmer\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programmer\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccSetMgr.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programmer\Norton Internet Security\ISSVC.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Programmer\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmer\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FLLESF~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\CCPD-LC\symlcsvc.exe

--
End of file - 8036 bytes


OcDevil
 
Elitebruger
Tilføjet:
23-01-2008 09:37:50
Svar/Indlæg:
1262/95
Hmm....der står ikke en bønne deri, der kan bruges. Hvis der er noget spyware eller lign. så kan HiJack This ihvertfald ikke finde det....


kbr100
 
Superbruger
Tilføjet:
23-01-2008 10:13:05
Svar/Indlæg:
313/103
Nåh, øv. Så vil jeg reinstallere hendes system og formatere HDD, dermed er der ikke noget at være i tvivl om hvorvidt computeren er inficeret eller usikker.

Uanset er jeg meget taknemmmelig for al jeres hjælp herinde, om ikke andet så har jeg lært en masse om at beskytte sig mod spyware og fået gode links til programmer.

Så mange tak for hjælpen, gutter 🙂

Hilsen
Kenneth