Annons:
Etikettövrigt
Läst 3513 ggr
Nicciz
2/29/08, 6:29 PM

Trojan och Net- Worm

För ca en vecka sedan blev jag infekterad av en trojan som envisas med att komma tillbaka hur jag än gör, vilka scanprogam och åtgärder som än görs…

är det någon här som kan hjälpa mig innan jag hoppar sönder datorn…. :)

Visste inte vilken kategori jag ska skriva under så om den hamnade fel kan ni flytta den rätt

Annons:
pentsium
2/29/08, 7:46 PM
#1

Vilka scanners har du kört?

[PeterWem]
2/29/08, 11:59 PM
#2

Laddar ned Hijackthis http://www.download.com/Trend-Micro-HijackThis/3000-8022_4-10227353.html eller från deras egen hemsida: http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download

2. Installera
 
3. Scanna med översta alternativet. Ska stå någonting med save text osv. Du får nu upp en textfil med alla processer som körs på din dator. Spara denna på skrivbordet och ladda upp den här.

Nicciz
3/1/08, 11:01 PM
#3

pga av att jag inte kan läsa svaren måste jag posta ett inlägg :(

Nicciz
3/1/08, 11:05 PM
#4

jag har kört housecall.trendmicro.com och spybot och EClea2_0 och windows defender

[PeterWem]
3/1/08, 11:24 PM
#5

Så ladda ned hijackthis istället och kör. Det är inget antivirus, det är ett program som visar operativsystemets processer. Därefter lägger du upp loggfilen här så jag kan granska den.

För övrigt, vilket program sade åt dig att du hade en trojan?

Nicciz
3/1/08, 11:26 PM
#6

..

Annons:
Nicciz
3/1/08, 11:27 PM
#7

Ok provar det.. Tack Glad

Nicciz
3/1/08, 11:37 PM
#8

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:36:08, on 2008-03-01
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Program\Alwil Software\Avast4\aswUpdSv.exe
C:\Program\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\cisvc.exe
C:\Program\Delade filer\LightScribe\LSSrvc.exe
C:\Program\Delade filer\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program\ASUS\NB Probe\SPM\spmgr.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program\Canon\CAL\CALMAIN.exe
C:\Program\Alwil Software\Avast4\ashMaiSv.exe
C:\Program\Alwil Software\Avast4\ashWebSv.exe
C:\Program\NetProject\scit.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\Program\NetProject\scm.exe
C:\Program\ASUS\NB Probe\NBProbe.exe
C:\Program\Synaptics\SynTP\SynTPLpr.exe
C:\Program\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\Rundll32.exe
C:\Program\ASUSTeK\ASUSDVD\PDVDServ.exe
C:\Program\Java\jre1.6.0_03\bin\jusched.exe
C:\Program\ALWILS~1\Avast4\ashDisp.exe
C:\Program\Windows Defender\MSASCui.exe
C:\Program\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program\Spybot - Search & Destroy\TeaTimer.exe
C:\Program\Option\GlobeTrotter Mobility Manager\MobilityManager.exe
C:\Program\Option\GlobeTrotter Mobility Manager\VirtualWirelessDevice.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program\Internet Explorer\iexplore.exe
C:\Program\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.se/0SESVSE/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.se/0SESVSE/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://housecall.trendmicro.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.se/0SESVSE/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [NB Probe] C:\Program\ASUS\NB Probe\NBProbe.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [RemoteControl] C:\Program\ASUSTeK\ASUSDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\Program\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Program\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [bm] "C:\Program\Delade filer\WinSecureAv\bm.exe" dm=http://winsecureav.com ad=http://winsecureav.com sd=http://ykeeper.winsecureav.com
O4 - HKLM\..\Run: [ptask] C:\Program\WinSecureAv\ptask.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKLM\..\Policies\Explorer\Run: [some] C:\Program\NetProject\scit.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKAL TJÄNST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\Program\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Referensinformation - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Program\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\Freke\Start-meny\Program\IMVU\Run IMVU.lnk (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://frekes.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://frekes.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game02.zylom.com/activex/zylomgamesplayer.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BDCD8115-48CB-4449-93DF-BF803CB171F9}: NameServer = 80.251.192.244 80.251.192.245
O22 - SharedTaskScheduler: djuka - {ee9f7cf5-cd49-4cd8-8ba6-1514e7a5c22c} - (no file)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program\Canon\CAL\CALMAIN.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program\Delade filer\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program\Delade filer\LightScribe\LSSrvc.exe
O23 - Service: spmgr - Unknown owner - C:\Program\ASUS\NB Probe\SPM\spmgr.exe

--
End of file - 8386 bytes

[PeterWem]
3/1/08, 11:42 PM
#9

Japp, det klassiska msn-viruset, och det ligger på samma ställe som det brukar. Vänta ett slag så ska jag kika mer.

Det är iaf denna: O4 - HKLM\..\Policies\Explorer\Run: [some] C:\Program\NetProject\scit.exe

Nicciz
3/1/08, 11:43 PM
#10

..

Nicciz
3/1/08, 11:47 PM
#11

Åh, jag visste väl att det fanns en bra ursäkt till att låta bli msn *s*

Tack så jättemycket för hjälpen… jag har iaf avinstallerat msn för flera dagar sen för hade en känsla av att det var ngt pga det… och något sweetims som dottern tagit hem…

[PeterWem]
3/1/08, 11:51 PM
#12

Gör så här. Avinstallera defender och spybot. inaktivera systemåterställaren. Ladda ned gratisalternativet här: http://www.superantispyware.com/superantispywarefreevspro.html Installera och scanna + rensa. Starta om. Scanna med hijackthis och posta här igen. Är det kvar får vi ta det manuellt.

Nicciz
3/1/08, 11:52 PM
#13

,,

Annons:
Nicciz
3/1/08, 11:59 PM
#14

ska jag åtgärda O4 - HKLM\..\Policies\Explorer\Run: [some] C:\Program\NetProject\scit.exe manuellt innan eller har du en annan plan :)

[PeterWem]
3/2/08, 12:01 AM
#15

Du kör superantispyware först. Har funnit mer i din burk bortsett från msn-viruset. En phishingsajt som leker med din dator.

Nicciz
3/2/08, 12:02 AM
#16

..

Nicciz
3/2/08, 12:03 AM
#17

Gråter Yeeey spännande… *grrr

[PeterWem]
3/2/08, 12:24 AM
#18

Medan superantispyware ändå scannar din dator, vet du vad NetProject är för någonting som du har i din dator? Ett program.

Nicciz
3/2/08, 12:26 AM
#19

..

Nicciz
3/2/08, 1:09 AM
#20

Har inte en aning om va NetProject är?? När man söker via sökfunkt. finns det inte?

Annons:
[PeterWem]
3/2/08, 1:12 AM
#21

Jag misstänker att det ska bort med. annars går du in på den här datorn>lokal disk C>program>netproject. Det är programmet iaf. Du kan alltid testa att avinstallera det om du kan.

Har du scannat färdigt ännu?

[PeterWem]
3/2/08, 1:19 AM
#22

Jag återkommer imorgon bitti. Scanna färdigt med superantispyware, rensa, starta om och posta en ny hijackthis här till dess.

//Peter

Nicciz
3/2/08, 1:20 AM
#23

..

Nicciz
3/2/08, 1:30 AM
#24

Det går utomordentligt sakta.. har en nedsatt funktion på ca 48% så du är smart som åk imorgon…. Glad

Tusen och åter tusen tack för att du tar dig tid och hjälper en data blondin *s*

Nicciz
3/2/08, 2:11 AM
#25

Hmm scannade NetProject separat efter rensning och då låg det mycket riktigt en trojan där. Rensade plockade bort mappen och startade om igen och så här ser loggen ut nu

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:09:17, on 2008-03-02
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program\Alwil Software\Avast4\aswUpdSv.exe
C:\Program\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\cisvc.exe
C:\Program\Delade filer\LightScribe\LSSrvc.exe
C:\Program\Delade filer\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program\ASUS\NB Probe\SPM\spmgr.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program\Canon\CAL\CALMAIN.exe
C:\Program\Alwil Software\Avast4\ashMaiSv.exe
C:\Program\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\Program\ASUS\NB Probe\NBProbe.exe
C:\Program\Synaptics\SynTP\SynTPLpr.exe
C:\Program\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\Rundll32.exe
C:\Program\ASUSTeK\ASUSDVD\PDVDServ.exe
C:\Program\Java\jre1.6.0_03\bin\jusched.exe
C:\Program\ALWILS~1\Avast4\ashDisp.exe
C:\Program\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Program\Option\GlobeTrotter Mobility Manager\MobilityManager.exe
C:\Program\Option\GlobeTrotter Mobility Manager\VirtualWirelessDevice.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program\MICROS~2\OFFICE11\OUTLOOK.EXE
C:\Program\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Program\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.se/0SESVSE/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.se/0SESVSE/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://housecall.trendmicro.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.se/0SESVSE/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [NB Probe] C:\Program\ASUS\NB Probe\NBProbe.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [RemoteControl] C:\Program\ASUSTeK\ASUSDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\Program\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [bm] "C:\Program\Delade filer\WinSecureAv\bm.exe" dm=http://winsecureav.com ad=http://winsecureav.com sd=http://ykeeper.winsecureav.com
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKAL TJÄNST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\Program\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Referensinformation - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Program\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\Freke\Start-meny\Program\IMVU\Run IMVU.lnk (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://frekes.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://frekes.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game02.zylom.com/activex/zylomgamesplayer.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BDCD8115-48CB-4449-93DF-BF803CB171F9}: NameServer = 80.251.192.244 80.251.192.245
O20 - Winlogon Notify: !SASWinLogon - C:\Program\SUPERAntiSpyware\SASWINLO.dll
O22 - SharedTaskScheduler: djuka - {ee9f7cf5-cd49-4cd8-8ba6-1514e7a5c22c} - (no file)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program\Canon\CAL\CALMAIN.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program\Delade filer\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program\Delade filer\LightScribe\LSSrvc.exe
O23 - Service: spmgr - Unknown owner - C:\Program\ASUS\NB Probe\SPM\spmgr.exe

--
End of file - 7773 bytes

Nicciz
3/2/08, 2:23 AM
#26

#5 För övrigt, vilket program sade åt dig att du hade en trojan? 

Såg nu att jag missat den frågan helt… Generad

Oj… ska komma ihåg vilken det var… kan ha varit housecall vid första scannen?? Har svårt att minnas eftersom det dagligen även kommit liknande info från div. olika otillförlitliga popups.

När jag skrev det här meddelandet var det iaf windows defender som nämnde trojan och sherifs och worms

Vet du förresten om det är ngn fil som har råkat försvinna eller om det är virus sviter som gör att iFokus inte uppdateras i sin ordning för mig? Jag kan se på antal svar att ngn svarat men inte svaret förens jag själv skriver något igen.. därav alla mina jobbiga punktinlägg…

..och tack igen :D höres imorgon

/Maria

[PeterWem]
3/2/08, 9:36 AM
#27

Angående internet:

Start>program>tillbehör>systemverktyg>internet explorer (utan tillägg). Testa det. Fungerar det har du fyllat din webbläsare med en massa.

Är du färdigscannad med HELA datorn?

Behöver du inte sweet IM kan du avinstallera den först med. Jag har aldrig hört något positivt om den. Bara att den är jobbig att avinstallera. Avinstallera och starta om.

I alla fall får vi gå över till den manuella delen och ta bort nätfiskarsajten. Till alla som läser denna tråd. GÅ INTE IN PÅ WEBBADRESSEN JAG SKRIVER, så länge du inte har mac eller firefox med No script.

Starta hijackthis och scanna. Du får nu val. Du ska bocka för i följande:

O4 - HKLM\..\Run: [bm] "C:\Program\Delade filer\WinSecureAv\bm.exe" dm=http://winsecureav.com ad=http://winsecureav.com sd=http://ykeeper.winsecureav.com

O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\Freke\Start-meny\Program\IMVU\Run IMVU.lnk (file missing)

O22 - SharedTaskScheduler: djuka - {ee9f7cf5-cd49-4cd8-8ba6-1514e7a5c22c} - (no file)

Välj därefter fix checked.

starta om datorn, scanna med hijackthis och skicka upp här igen.

Annons:
Nicciz
3/2/08, 12:27 PM
#28

..

Nicciz
3/2/08, 12:49 PM
#29

Så här blir det då..

Internet utan tillägg hjälpte inte? det är samma som förut, ser uppdatering i inläggslistan till vänster men går jag in på inlägget finns det inte?

Men detta är listan efter sista scanningen 

C:\Program\Delade filer\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program\ASUS\NB Probe\SPM\spmgr.exe
C:\WINDOWS\system32\svchost.exe
C:\Program\Canon\CAL\CALMAIN.exe
C:\Program\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\Program\ASUS\NB Probe\NBProbe.exe
C:\Program\Synaptics\SynTP\SynTPLpr.exe
C:\Program\Synaptics\SynTP\SynTPEnh.exe
C:\Program\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\Rundll32.exe
C:\Program\ASUSTeK\ASUSDVD\PDVDServ.exe
C:\Program\Java\jre1.6.0_03\bin\jusched.exe
C:\Program\ALWILS~1\Avast4\ashDisp.exe
C:\Program\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.se/0SESVSE/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.se/0SESVSE/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://housecall.trendmicro.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.se/0SESVSE/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [NB Probe] C:\Program\ASUS\NB Probe\NBProbe.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [RemoteControl] C:\Program\ASUSTeK\ASUSDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\Program\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKAL TJÄNST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\Program\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Referensinformation - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Program\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://frekes.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://frekes.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game02.zylom.com/activex/zylomgamesplayer.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Program\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program\Canon\CAL\CALMAIN.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program\Delade filer\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program\Delade filer\LightScribe\LSSrvc.exe
O23 - Service: spmgr - Unknown owner - C:\Program\ASUS\NB Probe\SPM\spmgr.exe

[PeterWem]
3/2/08, 12:57 PM
#30

Försökte du avinstallera sweet im med? den ligger kvar iaf och kan lättast markeras som de andra:

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com

fix checked.

Det skadliga är borta från din dator nu iaf. Du kan ladda ned Ccleaner, installera och städa i registret. Sök efter problem>reparera problem>reparera alla valda problem och OK. Du kan även ta och filstäda din dator. Vilka filer som rensas ser du i menyn. Därefter kan du ta och defragmentera din dator.

Angående internet explorer har jag ingen susning. Alternativ installera firefox istället. Där finns även tillägget No Script så att du KAN surfa på virussidor utan att smittas. Men det kanske inte är något alternativ för dig? Jag har bägge iaf, Firefox för surfning, och IE när jag inte kommer fram med Firefox.

Nicciz
3/2/08, 12:58 PM
#31

..

Nicciz
3/2/08, 1:13 PM
#32

den är borta nu. fick ta bort den manuellt…  Ska kolla runt lite till och se om det är något annat?? annars blir det nog firefox.

Tackar för all hjälp…

Nicciz
3/2/08, 6:17 PM
Bild 1. Klicka för att öppna i full storlek.
#33

Yees inga jobbiga popups eller systemvarningar… Allt verkar borta… *pustar ut*

Peter, Verkligen ett jätte stort tack för hjälpen…. Skrattande

Nu ska jag bara att fundera ut vad tusan som hänt med ie det konstiga är att det bara verkar som det bara är iFokus som har uppdateringsproblem??? Hmm undra om java är knas… jaja det kan jag ju fundera på…

[PeterWem]
3/2/08, 7:16 PM
#34

Ingen orsak, ännu en dator som inte kommer kunna användas till DDoS-attacker iaf.

Annons:
Taurus
3/11/08, 12:00 AM
Bild 1. Klicka för att öppna i full storlek.
#35

Först vill jag tacka Peter för den fina beskrivning hur även jag kunde bli fri den Trojanen. :)
Men det dök upp ett nytt problem för mig.
Varje gång jag startar upp datorn så kommer den här upp?
Vet någon vad det är för dll-fil?
Har sökt på Google men kan inte hitta något om den.

Taurus
3/11/08, 12:04 AM
#36

Så här ser loggfilen ut.

[PeterWem]
3/11/08, 5:46 PM
#37

Kan du inte ta bort det med superantispyware? Annars får du ladda ned hijackthis, så tar vi bort den manuellt. Förmodligen är det en rest som försöker köras och att ditt antispyware har tagit bort en del. Att den inte finns med i google eller yahoo tyder på att det inte är en bra sak.

Taurus
3/11/08, 9:19 PM
#38

Jag har scannat 2 gånger med superantispyware(andra gången efter jag uppdaterat programmet) och den kommer ändå upp.
Skickar med en loggfil.

Taurus
3/11/08, 9:21 PM
#39

Fel logg..här kommer den rätta.

[PeterWem]
3/11/08, 11:28 PM
#40

Du har en del.

Döda via hijackthis följande:

O2 - BHO: {4a09bfdd-b89d-b578-8284-5dd973e1a570} - {075a1e37-9dd5-4828-875b-d98bddfb90a4} - C:\WINDOWS\system32\nreyrbmp.dll (file missing)

 Dessa två fixar symptomen du såg:

O4 - HKLM\..\Run: [08284c73] rundll32.exe "C:\WINDOWS\system32\moprhbah.dll",b

O4 - HKLM\..\Run: [BM0b1b7fef] Rundll32.exe "C:\WINDOWS\system32\bnwpneob.dll",s

O20 - Winlogon Notify: jkkjkhf - jkkjkhf.dll (file missing)

O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\dxcktxup.exe (file missing)

Du kan även testa Kasperskys onlinescanner och se ifall du har något annat i din dator.  

 En sak till. Uppdatera Java. Kontrollpanelen>Java>uppdatera.

Taurus
3/12/08, 9:24 AM
Bild 1. Klicka för att öppna i full storlek.
#41

Tack så hemskt mycket för hjälpen! :)
Nu är det borta…

Annons:
Upp till toppen
Annons: