Oprettet ons. d. 09. marts 2011 kl. 16:54:11

60 point uddelt | 5 kommentarer

webpassion.dk (20.685 point. Point ude: 0)

Norton popper op hele tiden / rundll32.exe

Arrg jeg er SÅÅÅÅ træt af at min Norton hele tiden popper op med beskeden "rundll32.ext forsøger at få adgang til internettet".
Selv hvis jeg siger: "Bloker altid", så kommer den op igen.

Klikker jeg på detaljer får jeg følgende:

Lav risiko
---------------------------
Program: rundll32.exe
Sti: C:\WINDOWS\system32\
Protokol: TCP - udgående
Lokal adresse: Alle lokale netværksadaptere: 1104
Placering: Standard

Jeg fik noget virus/adware på et tidspunkt, men har kørt både Nortons Antivirus Program, CCleaner, Malwarebytes' Anti-Malware, HiJackThis. Slettet, ryddet op og genstartet, men den bliver ved. Er faktisk sikker på, at dersom jeg kører Malwarebytes' Anti-Malware igen lige nu, så finder jeg de samme adware, som jeg sletter hver gang. Hvordan kommer jeg af med dem for good??

Så læste jeg, at det kunne have noget med LimeWire at gøre. Så slettede jeg programmet og det hjalp et stk. tid. Men nu er problemet tilbage igen.

Oplevede også at det forsvandt, da jeg opdaterede Java????

Jeg oplever dog stadig, at når jeg googler og klikker på et tilfældigt link, så kommer i stedet en helt vildt fremmed hjemmeside op, som vil have mig til at købe noget. Hele tiden den samme hjemmeside.

Hvad kan jeg gøre for at slippe af med skidtet?? ...... og blive fri for det evindelige og meget trættende popup vindue??

Jeg har ikke besøgt nogle nye og "spændende" sites siden sidst.
--------------------

Min HiJack-log ser således ud:

Logfile of HijackThis v1.97.7
Scan saved at 16:48:57, on 09-03-2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
c:\Programmer\Fælles filer\Symantec Shared\ccProxy.exe
c:\Programmer\Fælles filer\Symantec Shared\ccSetMgr.exe
c:\Programmer\Norton Internet Security\ISSVC.exe
c:\Programmer\Fælles filer\Symantec Shared\SNDSrvc.exe
c:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\xampp\apache\bin\apache.exe
C:\Programmer\Fælles filer\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Programmer\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programmer\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmer\Java\jre6\bin\jqs.exe
C:\xampp\mysql\bin\mysqld-nt.exe
c:\Programmer\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\xampp\apache\bin\apache.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmer\Total PC Care\TPCDefragSrv.exe
c:\Programmer\Fælles filer\Symantec Shared\Security Center\SymWSC.exe
C:\Programmer\Canon\CAL\CALMAIN.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\windows\system\hpsysdrv.exe
C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\ALCXMNTR.EXE
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\HP\KBD\KBD.EXE
C:\Programmer\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe
F:\Programmer\Direct Folders\Direct Folders\df.exe
G:\Programmer\Adobe Acrobat 7.0\Distillr\Acrotray.exe
F:\Programmer\skærmbilled-skifter\Wallpaper Juggler\WallpaperJugglerM.exe
C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe
C:\Programmer\Hp\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\Hp\Digital Imaging\bin\hpqtra08.exe
C:\Programmer\HP\Digital Imaging\bin\hpqimzone.exe
C:\Programmer\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programmer\HP\Digital Imaging\bin\hpqbam08.exe
C:\Programmer\HP\Digital Imaging\bin\hpqgpc01.exe
C:\Programmer\Microsoft Office\Office\OUTLOOK.EXE
C:\Programmer\iTunes\iTunes.exe
C:\Programmer\iPod\bin\iPodService.exe
C:\Programmer\Fælles filer\Apple\Mobile Device Support\AppleMobileDeviceHelper.exe
C:\Programmer\Fælles filer\Apple\Apple Application Support\distnoted.exe
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\Programmer\HP\Digital Imaging\Smart Web Printing\hpswp_clipbook.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\Documents and Settings\Compaq_Ejer\Skrivebord\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/ (...)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/ (...)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/ (...)
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programmer\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Programmer\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {074C1DC5-9320-4A9A-947D-C042949C6216} - C:\Programmer\Adobe\/Adobe Contribute CS3/contributeieplugin.dll
O2 - BHO: (no name) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmer\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7AA07AE6-01EF-44EC-93CA-9D7CD41CCDB6} - C:\Programmer\del.icio.us\Internet Explorer Buttons\dlcsIE.dll
O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - G:\Programmer\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - c:\Programmer\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmer\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmer\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Programmer\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Programmer\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: del.icio.us - {981FE6A8-260C-4930-960F-C3BC82746CB0} - C:\Programmer\del.icio.us\Internet Explorer Buttons\dlcsIE.dll
O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - C:\Programmer\Adobe\/Adobe Contribute CS3/contributeieplugin.dll
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [ccApp] "c:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] c:\Programmer\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [CXMon] "C:\Programmer\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe"
O4 - HKLM\..\Run: [DirectFolders] "F:\Programmer\Direct Folders\Direct Folders\df.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "G:\Programmer\Adobe Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [Wallpaper Juggler Monitor] "F:\Programmer\skærmbilled-skifter\Wallpaper Juggler\WallpaperJugglerM.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [HP Software Update] C:\Programmer\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmer\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [Shockwave Updater] C:\WINDOWS\system32\Adobe\Shockwave 11\SwHelper_1150596.exe -Update -1150596 -"Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)" -"http://www.isketch.net/ (...)
O4 - Startup: Adobe Gamma.lnk = ?
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmer\Hp\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Fast Start.lnk = C:\Programmer\Hp\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Convert link target to Adobe PDF - res://G:\Programmer\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://G:\Programmer\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://G:\Programmer\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://G:\Programmer\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://G:\Programmer\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://G:\Programmer\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://G:\Programmer\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://G:\Programmer\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Vis eller skjul HP Smart Web Printing (HKLM)
O9 - Extra button: Tilslutningshjælp (HKLM)
O9 - Extra 'Tools' menuitem: Tilslutningshjælp (HKLM)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O10 - Unknown file in Winsock LSP: c:\programmer\bonjour\mdnsnsp.dll
O11 - Options group: [INTERNATIONAL] International
O15 - Trusted Zone: http://*.danid.dk
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://download.microsoft.com/ (...)
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/ (...)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/ (...)
O16 - DPF: {233C1507-6A77-46A4-9443-F871F945D258} (Shockwave ActiveX Control) - http://download.macromedia.com/ (...)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/ (...)
O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/ (...)
O16 - DPF: {493ACF15-5CD9-4474-82A6-91670C3DD66E} (LinkedIn ContactFinderControl) - http://www.linkedin.com/ (...)
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/ (...)
O16 - DPF: {4F2A3649-7A9F-4950-9C31-409FAC6FC7C8} (IssueUtilCtrl Class) - https://danid.dk/ (...)
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/ (...)
O16 - DPF: {6274F636-00DB-42BE-8995-B92E46F853F7} (sigSrvClnt Class) - https://signflow.statsamt.dk/ (...)
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/ (...)
O16 - DPF: {6D2EF4B4-CB62-4C0B-85F3-B79C236D702C} (ContactExtractor Class) - http://www.facebook.com/ (...)
O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/ (...)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - http://fpdownload.macromedia.com/ (...)
O16 - DPF: {B9F79165-A264-4C4A-A211-133A5E8D647F} (F-Secure Health Check 1.1) - http://support.f-secure.com/ (...)
O16 - DPF: {D216644A-C6DB-49D9-BBCF-D38FE7991BF2} - https://udstedelse.certifikat.tdc.dk/ (...)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ (...)
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/ (...)
O16 - DPF: {DA25EE3A-530B-4494-AA8A-AA52557E37B6} (LinkedIn Signature Control) - http://www.linkedin.com/ (...)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/ (...)

mvh
My

Anmeld misbrug

Skriv et svar | Skriv en kommentar

Skrevet ons. d. 09. marts 2011 kl. 18:36:12| #1

f-arn (18.550 point)

Start Malwarebytes, opdater og kør den. Kopier loggen herind.

------

Hent og gem ComboFix på dit skrivebord.

Højreklik på skrivebordet og vælg ny->tekstdokument og kopier det fremhævede ind og gem filen som CFScript

Killall::
Snapshot::

Da Combofix kan konflikte med dine sikkerhedsprogrammer er det vigtigt at du deaktiverer dem.

Tag så fat i den nye fil med musen, og før den hen over ComboFix-filen, hvorefter du "giver slip" med musen.
http://www.fromsej.saknet.dk/ (...)

Så skulle Combofix gerne give sig til at arbejde. Muligvis vil den kræve en genstart, hvilket du skal tillade. Du bør ikke klikke på vinduet imens værktøjet kører, idet det kan få din computer til at fryse.
Når Combofix er færdig, og efter det (muligvis) har genstartet, skulle der gerne åbnes en logfil: combofix.txt som ligger her C:\Combofix.txt

Indholdet af denne fil må du gerne lægge herind.

Anmeld misbrug

Skriv et svar | Skriv en kommentar

Skrevet ons. d. 16. marts 2011 kl. 19:43:31| #2

webpassion.dk (20.685 point)

hej f-arn

Tak for dit svar og for hjælpen. Jeg gjorde, som du sagde, der kom dog aldrig nogen logfil ud af det, men problemet blev løst.
Sjovt nok oprettedes der en mappe på C, men i den ligger der en firefox.exe fil på 31 bytes. Kender du nogen forklaring på det?

mvh
My

Anmeld misbrug

Skriv et svar | Skriv en kommentar

Skrevet ons. d. 16. marts 2011 kl. 20:19:54| #3

f-arn (18.550 point)

Sjovt nok oprettedes der en mappe på C, men i den ligger der en firefox.exe fil på 31 bytes. Kender du nogen forklaring på det?

Nej, men det er tydeligt at ComboFix blev blokeret af noget - Norton måske ?

Vil du godt hente en ny ComboFix, og prøve igen. Kør den i Fejlsikret tilstand.

PS Jeg bad også om en opdateret log fra Malwarebytes.

Anmeld misbrug

Skriv et svar | Skriv en kommentar

Skrevet lør. d. 16. april 2011 kl. 09:23:25| #4

webpassion.dk (20.685 point)

f-arn, vil du sende mig dit svar, så vi kan lukke tråden. Du guidede mig på vej. Har været fraværende et stk. tid pga virus, og har faktisk mistanke om, at rundll32.exe har noget med det at gøre - sammen med en dejlig suspicious.mystique virus. Måske har det ene åbnet op for det andet.
Men min maskine er nu renset og kører smukt igen.
Tak for hjælpen, og fordi du gad ;-)

Anmeld misbrug

Skriv et svar | Skriv en kommentar

Skrevet lør. d. 16. april 2011 kl. 10:33:31| #5

Accepteret svar!60 point tildelt

f-arn (18.550 point)

OK :-)

Anmeld misbrug

Skriv et svar | Skriv en kommentar

Log ind

Opret bruger | Glemt adgangskode

Seneste spørgsmål

Min processorkræft bliver drænet kraftigt

Oprettet den 22. maj 2012 kl. 15.00

mikkel4229 giver 60 point for svar | Giv et svar »

Hotmail

Oprettet den 20. maj 2012 kl. 15.09

Zeta13 giver 30 point for svar | Giv et svar »

Kan ikke slette Avira

Oprettet den 15. maj 2012 kl. 11.16

jepzen giver 30 point for svar | Giv et svar »

Seneste guides

Hjælp til opsætning af IP-cam samt alm. netværks...

22. maj 2012 kl. 00.07 | Læs »

See Kessler vs. Green fight in your living room on pc

19. maj 2012 kl. 21.11 | Læs »

Ny god bærbar til tunge programmer

17. maj 2012 kl. 17.23 | Læs »

PSA-diagnosticering og -fejlkoder (Pre-Boot System...

9. maj 2012 kl. 11.12 | Læs »

Dell pc-diagnosticering - Problemer med din Dell...

7. maj 2012 kl. 14.38 | Læs »

Se alle guides »

Seneste nyheder

Galleri: De fedeste håndholdte gennem 40 år

25. maj 2012 kl. 16.04 | Læs »

Min Mac er under angreb - Apple skal tage det alvorligt

25. maj 2012 kl. 14.30 | Læs »

Landmænd låst fast til konkursramt bredbånds-firma

25. maj 2012 kl. 14.04 | Læs »

Her er din næste digitale gadget: En "Phablet"

25. maj 2012 kl. 13.40 | Læs »

Læserne: Her er vores værste it-indkøb

25. maj 2012 kl. 13.31 | Læs »

Se alle nyheder »

Tips & Tricks fra PC World

Læserne: Her er vores værste it-indkøb

Det er ikke al it-udstyr, som er det rene guld. Her er nogle af læsernes skrækhistorier.

Læs mere »

Anmeldelser fra PC World

Test: Mobil med Ferrari-design - og en Trabant-motor

Motorola har begået endnu en smartphone med lækkert design og potentiale til at være blandt de bedste. Men den når ikke i mål. Se her hvorfor.

Læs mere »

Seneste blogindlæg

Tvangslukke spørgsmål: Hvad er den bedste løsning?

Hej Vi har mange åbne spørgsmål på Eksperten. Vi ville gerne tvangslukke dem - så et spørgsmål efter f.eks. 6 måneder lukkes. Men der er et par uklarheder som ville være gode at få lidt input til:...

Læs mere »