13. Övrigt

Trojan och Net- Worm

2008-02-29 18:29 #0 av: Nicciz

För ca en vecka sedan blev jag infekterad av en trojan som envisas med att komma tillbaka hur jag än gör, vilka scanprogam och åtgärder som än görs...

är det någon här som kan hjälpa mig innan jag hoppar sönder datorn.... :)

 

Visste inte vilken kategori jag ska skriva under så om den hamnade fel kan ni flytta den rätt

Anmäl
2008-02-29 19:46 #1 av: pentsium

Vilka scanners har du kört?

 

Anmäl
2008-02-29 23:59 #2 av: [PeterWem]

Laddar ned Hijackthis http://www.download.com/Trend-Micro-HijackThis/3000-8022_4-10227353.html eller från deras egen hemsida: http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download

2. Installera
 
3. Scanna med översta alternativet. Ska stå någonting med save text osv. Du får nu upp en textfil med alla processer som körs på din dator. Spara denna på skrivbordet och ladda upp den här.
 

Anmäl
2008-03-01 23:01 #3 av: Nicciz

pga av att jag inte kan läsa svaren måste jag posta ett inlägg :(

Anmäl
2008-03-01 23:05 #4 av: Nicciz

jag har kört housecall.trendmicro.com och spybot och EClea2_0 och windows defender

 

Anmäl
2008-03-01 23:24 #5 av: [PeterWem]

Så ladda ned hijackthis istället och kör. Det är inget antivirus, det är ett program som visar operativsystemets processer. Därefter lägger du upp loggfilen här så jag kan granska den.

För övrigt, vilket program sade åt dig att du hade en trojan? 

Anmäl
2008-03-01 23:26 #6 av: Nicciz

..

Anmäl
2008-03-01 23:27 #7 av: Nicciz

Ok provar det.. Tack Glad

Anmäl
2008-03-01 23:37 #8 av: Nicciz

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:36:08, on 2008-03-01
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Program\Alwil Software\Avast4\aswUpdSv.exe
C:\Program\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\cisvc.exe
C:\Program\Delade filer\LightScribe\LSSrvc.exe
C:\Program\Delade filer\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program\ASUS\NB Probe\SPM\spmgr.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program\Canon\CAL\CALMAIN.exe
C:\Program\Alwil Software\Avast4\ashMaiSv.exe
C:\Program\Alwil Software\Avast4\ashWebSv.exe
C:\Program\NetProject\scit.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\Program\NetProject\scm.exe
C:\Program\ASUS\NB Probe\NBProbe.exe
C:\Program\Synaptics\SynTP\SynTPLpr.exe
C:\Program\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\Rundll32.exe
C:\Program\ASUSTeK\ASUSDVD\PDVDServ.exe
C:\Program\Java\jre1.6.0_03\bin\jusched.exe
C:\Program\ALWILS~1\Avast4\ashDisp.exe
C:\Program\Windows Defender\MSASCui.exe
C:\Program\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program\Spybot - Search & Destroy\TeaTimer.exe
C:\Program\Option\GlobeTrotter Mobility Manager\MobilityManager.exe
C:\Program\Option\GlobeTrotter Mobility Manager\VirtualWirelessDevice.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program\Internet Explorer\iexplore.exe
C:\Program\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.se/0SESVSE/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.se/0SESVSE/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://housecall.trendmicro.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.se/0SESVSE/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [NB Probe] C:\Program\ASUS\NB Probe\NBProbe.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [RemoteControl] C:\Program\ASUSTeK\ASUSDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\Program\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Program\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [bm] "C:\Program\Delade filer\WinSecureAv\bm.exe" dm=http://winsecureav.com ad=http://winsecureav.com sd=http://ykeeper.winsecureav.com
O4 - HKLM\..\Run: [ptask] C:\Program\WinSecureAv\ptask.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKLM\..\Policies\Explorer\Run: [some] C:\Program\NetProject\scit.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKAL TJÄNST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\Program\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Referensinformation - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Program\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\Freke\Start-meny\Program\IMVU\Run IMVU.lnk (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://frekes.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://frekes.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game02.zylom.com/activex/zylomgamesplayer.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BDCD8115-48CB-4449-93DF-BF803CB171F9}: NameServer = 80.251.192.244 80.251.192.245
O22 - SharedTaskScheduler: djuka - {ee9f7cf5-cd49-4cd8-8ba6-1514e7a5c22c} - (no file)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program\Canon\CAL\CALMAIN.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program\Delade filer\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program\Delade filer\LightScribe\LSSrvc.exe
O23 - Service: spmgr - Unknown owner - C:\Program\ASUS\NB Probe\SPM\spmgr.exe

--
End of file - 8386 bytes

Anmäl
2008-03-01 23:42 #9 av: [PeterWem]

Japp, det klassiska msn-viruset, och det ligger på samma ställe som det brukar. Vänta ett slag så ska jag kika mer.

Det är iaf denna: O4 - HKLM\..\Policies\Explorer\Run: [some] C:\Program\NetProject\scit.exe

Anmäl
2008-03-01 23:43 #10 av: Nicciz

..

Anmäl
2008-03-01 23:47 #11 av: Nicciz

Åh, jag visste väl att det fanns en bra ursäkt till att låta bli msn *s*

Tack så jättemycket för hjälpen... jag har iaf avinstallerat msn för flera dagar sen för hade en känsla av att det var ngt pga det... och något sweetims som dottern tagit hem...

Anmäl
2008-03-01 23:51 #12 av: [PeterWem]

Gör så här. Avinstallera defender och spybot. inaktivera systemåterställaren. Ladda ned gratisalternativet här: http://www.superantispyware.com/superantispywarefreevspro.html Installera och scanna + rensa. Starta om. Scanna med hijackthis och posta här igen. Är det kvar får vi ta det manuellt.

Anmäl
2008-03-01 23:52 #13 av: Nicciz

,,

Anmäl
2008-03-01 23:59 #14 av: Nicciz

ska jag åtgärda O4 - HKLM\..\Policies\Explorer\Run: [some] C:\Program\NetProject\scit.exe manuellt innan eller har du en annan plan :)

Anmäl
2008-03-02 00:01 #15 av: [PeterWem]
Du kör superantispyware först. Har funnit mer i din burk bortsett från msn-viruset. En phishingsajt som leker med din dator.
Anmäl
2008-03-02 00:02 #16 av: Nicciz

..

Anmäl
2008-03-02 00:03 #17 av: Nicciz

Gråter Yeeey spännande... *grrr

Anmäl
2008-03-02 00:24 #18 av: [PeterWem]

Medan superantispyware ändå scannar din dator, vet du vad NetProject är för någonting som du har i din dator? Ett program.

Anmäl
2008-03-02 00:26 #19 av: Nicciz

..

 

Anmäl
2008-03-02 01:09 #20 av: Nicciz

Har inte en aning om va NetProject är?? När man söker via sökfunkt. finns det inte?

 

Anmäl
2008-03-02 01:12 #21 av: [PeterWem]

Jag misstänker att det ska bort med. annars går du in på den här datorn>lokal disk C>program>netproject. Det är programmet iaf. Du kan alltid testa att avinstallera det om du kan.

Har du scannat färdigt ännu? 

Anmäl
2008-03-02 01:19 #22 av: [PeterWem]

Jag återkommer imorgon bitti. Scanna färdigt med superantispyware, rensa, starta om och posta en ny hijackthis här till dess.

//Peter 

Anmäl
2008-03-02 01:20 #23 av: Nicciz

..

 

Anmäl
2008-03-02 01:30 #24 av: Nicciz

Det går utomordentligt sakta.. har en nedsatt funktion på ca 48% så du är smart som åk imorgon.... Glad

 

Tusen och åter tusen tack för att du tar dig tid och hjälper en data blondin *s*

Anmäl
2008-03-02 02:11 #25 av: Nicciz

Hmm scannade NetProject separat efter rensning och då låg det mycket riktigt en trojan där. Rensade plockade bort mappen och startade om igen och så här ser loggen ut nu

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:09:17, on 2008-03-02
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program\Alwil Software\Avast4\aswUpdSv.exe
C:\Program\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\cisvc.exe
C:\Program\Delade filer\LightScribe\LSSrvc.exe
C:\Program\Delade filer\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program\ASUS\NB Probe\SPM\spmgr.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program\Canon\CAL\CALMAIN.exe
C:\Program\Alwil Software\Avast4\ashMaiSv.exe
C:\Program\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\Program\ASUS\NB Probe\NBProbe.exe
C:\Program\Synaptics\SynTP\SynTPLpr.exe
C:\Program\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\Rundll32.exe
C:\Program\ASUSTeK\ASUSDVD\PDVDServ.exe
C:\Program\Java\jre1.6.0_03\bin\jusched.exe
C:\Program\ALWILS~1\Avast4\ashDisp.exe
C:\Program\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Program\Option\GlobeTrotter Mobility Manager\MobilityManager.exe
C:\Program\Option\GlobeTrotter Mobility Manager\VirtualWirelessDevice.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program\MICROS~2\OFFICE11\OUTLOOK.EXE
C:\Program\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Program\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.se/0SESVSE/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.se/0SESVSE/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://housecall.trendmicro.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.se/0SESVSE/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [NB Probe] C:\Program\ASUS\NB Probe\NBProbe.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [RemoteControl] C:\Program\ASUSTeK\ASUSDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\Program\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [bm] "C:\Program\Delade filer\WinSecureAv\bm.exe" dm=http://winsecureav.com ad=http://winsecureav.com sd=http://ykeeper.winsecureav.com
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKAL TJÄNST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\Program\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Referensinformation - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Program\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\Freke\Start-meny\Program\IMVU\Run IMVU.lnk (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://frekes.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://frekes.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game02.zylom.com/activex/zylomgamesplayer.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BDCD8115-48CB-4449-93DF-BF803CB171F9}: NameServer = 80.251.192.244 80.251.192.245
O20 - Winlogon Notify: !SASWinLogon - C:\Program\SUPERAntiSpyware\SASWINLO.dll
O22 - SharedTaskScheduler: djuka - {ee9f7cf5-cd49-4cd8-8ba6-1514e7a5c22c} - (no file)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program\Canon\CAL\CALMAIN.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program\Delade filer\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program\Delade filer\LightScribe\LSSrvc.exe
O23 - Service: spmgr - Unknown owner - C:\Program\ASUS\NB Probe\SPM\spmgr.exe

--
End of file - 7773 bytes

Anmäl
2008-03-02 02:23 #26 av: Nicciz

#5 För övrigt, vilket program sade åt dig att du hade en trojan? 

Såg nu att jag missat den frågan helt... Generad

Oj... ska komma ihåg vilken det var... kan ha varit housecall vid första scannen?? Har svårt att minnas eftersom det dagligen även kommit liknande info från div. olika otillförlitliga popups.

När jag skrev det här meddelandet var det iaf windows defender som nämnde trojan och sherifs och worms

 

Vet du förresten om det är ngn fil som har råkat försvinna eller om det är virus sviter som gör att ifokus inte uppdateras i sin ordning för mig? Jag kan se på antal svar att ngn svarat men inte svaret förens jag själv skriver något igen.. därav alla mina jobbiga punktinlägg...

 

..och tack igen :D höres imorgon

/Maria

Anmäl
2008-03-02 09:36 #27 av: [PeterWem]

Angående internet:

Start>program>tillbehör>systemverktyg>internet explorer (utan tillägg). Testa det. Fungerar det har du fyllat din webbläsare med en massa.

Är du färdigscannad med HELA datorn?

 

Behöver du inte sweet IM kan du avinstallera den först med. Jag har aldrig hört något positivt om den. Bara att den är jobbig att avinstallera. Avinstallera och starta om.

 

I alla fall får vi gå över till den manuella delen och ta bort nätfiskarsajten. Till alla som läser denna tråd. GÅ INTE IN PÅ WEBBADRESSEN JAG SKRIVER, så länge du inte har mac eller firefox med No script.

 

Starta hijackthis och scanna. Du får nu val. Du ska bocka för i följande:

 

O4 - HKLM\..\Run: [bm] "C:\Program\Delade filer\WinSecureAv\bm.exe" dm=http://winsecureav.com ad=http://winsecureav.com sd=http://ykeeper.winsecureav.com

 

O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\Freke\Start-meny\Program\IMVU\Run IMVU.lnk (file missing)

 

O22 - SharedTaskScheduler: djuka - {ee9f7cf5-cd49-4cd8-8ba6-1514e7a5c22c} - (no file)

 

Välj därefter fix checked.

starta om datorn, scanna med hijackthis och skicka upp här igen. 

Anmäl
2008-03-02 12:27 #28 av: Nicciz

..

 

Anmäl
2008-03-02 12:49 #29 av: Nicciz

Så här blir det då..

Internet utan tillägg hjälpte inte? det är samma som förut, ser uppdatering i inläggslistan till vänster men går jag in på inlägget finns det inte?

Men detta är listan efter sista scanningen 

C:\Program\Delade filer\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program\ASUS\NB Probe\SPM\spmgr.exe
C:\WINDOWS\system32\svchost.exe
C:\Program\Canon\CAL\CALMAIN.exe
C:\Program\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\Program\ASUS\NB Probe\NBProbe.exe
C:\Program\Synaptics\SynTP\SynTPLpr.exe
C:\Program\Synaptics\SynTP\SynTPEnh.exe
C:\Program\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\Rundll32.exe
C:\Program\ASUSTeK\ASUSDVD\PDVDServ.exe
C:\Program\Java\jre1.6.0_03\bin\jusched.exe
C:\Program\ALWILS~1\Avast4\ashDisp.exe
C:\Program\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.se/0SESVSE/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.se/0SESVSE/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://housecall.trendmicro.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.se/0SESVSE/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [NB Probe] C:\Program\ASUS\NB Probe\NBProbe.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [RemoteControl] C:\Program\ASUSTeK\ASUSDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\Program\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKAL TJÄNST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\Program\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Referensinformation - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Program\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://frekes.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://frekes.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game02.zylom.com/activex/zylomgamesplayer.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Program\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program\Canon\CAL\CALMAIN.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program\Delade filer\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program\Delade filer\LightScribe\LSSrvc.exe
O23 - Service: spmgr - Unknown owner - C:\Program\ASUS\NB Probe\SPM\spmgr.exe

Anmäl
2008-03-02 12:57 #30 av: [PeterWem]

Försökte du avinstallera sweet im med? den ligger kvar iaf och kan lättast markeras som de andra:

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com

fix checked.

Det skadliga är borta från din dator nu iaf. Du kan ladda ned Ccleaner, installera och städa i registret. Sök efter problem>reparera problem>reparera alla valda problem och OK. Du kan även ta och filstäda din dator. Vilka filer som rensas ser du i menyn. Därefter kan du ta och defragmentera din dator.

 

Angående internet explorer har jag ingen susning. Alternativ installera firefox istället. Där finns även tillägget No Script så att du KAN surfa på virussidor utan att smittas. Men det kanske inte är något alternativ för dig? Jag har bägge iaf, Firefox för surfning, och IE när jag inte kommer fram med Firefox. 

Anmäl
2008-03-02 12:58 #31 av: Nicciz

..

 

Anmäl
2008-03-02 13:13 #32 av: Nicciz

den är borta nu. fick ta bort den manuellt...  Ska kolla runt lite till och se om det är något annat?? annars blir det nog firefox.

Tackar för all hjälp...

Anmäl
2008-03-02 18:17 #33 av: Nicciz

Yees inga jobbiga popups eller systemvarningar... Allt verkar borta... *pustar ut*

Peter, Verkligen ett jätte stort tack för hjälpen.... Skrattande

Nu ska jag bara att fundera ut vad tusan som hänt med ie det konstiga är att det bara verkar som det bara är ifokus som har uppdateringsproblem??? Hmm undra om java är knas... jaja det kan jag ju fundera på...

Anmäl
2008-03-02 19:16 #34 av: [PeterWem]

Ingen orsak, ännu en dator som inte kommer kunna användas till DDoS-attacker iaf.

Anmäl
2008-03-11 00:00 #35 av: Taurus

Först vill jag tacka Peter för den fina beskrivning hur även jag kunde bli fri den Trojanen. :)
Men det dök upp ett nytt problem för mig.
Varje gång jag startar upp datorn så kommer den här upp?
Vet någon vad det är för dll-fil?
Har sökt på Google men kan inte hitta något om den.

Anmäl
2008-03-11 00:04 #36 av: Taurus
scan-log-03-10-2008-20-14-48.txt

Så här ser loggfilen ut.

Anmäl
2008-03-11 17:46 #37 av: [PeterWem]

Kan du inte ta bort det med superantispyware? Annars får du ladda ned hijackthis, så tar vi bort den manuellt. Förmodligen är det en rest som försöker köras och att ditt antispyware har tagit bort en del. Att den inte finns med i google eller yahoo tyder på att det inte är en bra sak.

Anmäl
2008-03-11 21:19 #38 av: Taurus
scan-log-03-10-2008-20-14-48.txt

Jag har scannat 2 gånger med superantispyware(andra gången efter jag uppdaterat programmet) och den kommer ändå upp.
Skickar med en loggfil.

Anmäl
2008-03-11 21:21 #39 av: Taurus
hijackthis.txt

Fel logg..här kommer den rätta.

Anmäl
2008-03-11 23:28 #40 av: [PeterWem]

Du har en del.

Döda via hijackthis följande:

O2 - BHO: {4a09bfdd-b89d-b578-8284-5dd973e1a570} - {075a1e37-9dd5-4828-875b-d98bddfb90a4} - C:\WINDOWS\system32\nreyrbmp.dll (file missing)

 Dessa två fixar symptomen du såg:

O4 - HKLM\..\Run: [08284c73] rundll32.exe "C:\WINDOWS\system32\moprhbah.dll",b

 

O4 - HKLM\..\Run: [BM0b1b7fef] Rundll32.exe "C:\WINDOWS\system32\bnwpneob.dll",s

 

O20 - Winlogon Notify: jkkjkhf - jkkjkhf.dll (file missing)

 

O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\dxcktxup.exe (file missing)

 

Du kan även testa Kasperskys onlinescanner och se ifall du har något annat i din dator.  

 En sak till. Uppdatera Java. Kontrollpanelen>Java>uppdatera.

 

Anmäl

Det finns en till kommentar till den här diskussionen. Den är bara synlig för medlemmar på iFokus. För att läsa kommentaren, logga in eller registrera dig på iFokus.