DragonPuffer Posted February 4, 2005 Share Posted February 4, 2005 Jo jag installerade MSN messenger plus får nån vecka sen och fick massa skit , dels två hotbars i explorer och massa länkar i favoriter som ej går att ta bort! Plus att jag nu får popups hela tiden fast än mitt ie inte är igång. har kört adaware varje dag men det hjälper inte så jag örde hijackthis och behöver hjälp med loggen Loggen följer nedan: Logfile of HijackThis v1.99.0 Scan saved at 16:17:19, on 2005-02-04 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\svchost.exe C:\Program\WIDCOMM\Bluetooth-programvara\bin\btwdins.exe C:\WINDOWS\System32\CTsvcCDA.exe C:\Program\Delade filer\Microsoft Shared\VS7DEBUG\MDM.EXE C:\NORMAN\Nvc\BIN\NPFSVICE.EXE C:\Norman\Nvc\BIN\Zanda.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\NORMAN\Nvc\BIN\NJEEVES.EXE C:\NORMAN\Nvc\BIN\nvcoas.exe C:\NORMAN\Nvc\BIN\nipsvc.exe C:\NORMAN\Nvc\BIN\NVCSCHED.EXE C:\WINDOWS\System32\alg.exe C:\WINDOWS\Explorer.EXE C:\ATI-CPanel\atiptaxx.exe C:\Program\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe C:\Program\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE C:\WINDOWS\system32\CTHELPER.EXE C:\NORMAN\Nvc\BIN\ZLH.EXE C:\Peter\Winamp\winampa.exe C:\Program\D-Tools\daemon.exe C:\NORMAN\Nvc\BIN\NYMSE.EXE C:\NORMAN\Nvc\BIN\NIP.EXE C:\NORMAN\Nvc\BIN\cclaw.exe C:\WINDOWS\system32\rundll32.exe C:\Program\Java\j2re1.4.2_06\bin\jusched.exe C:\NORMAN\Nvc\BIN\npfmsg2.exe C:\WINDOWS\system32\ctfmon.exe C:\Program\Internet Explorer\iexplore.exe C:\Program\Creative\MediaSource\RemoteControl\RCMan.EXE C:\Program\FMA2~1\SFRAME~1\helper\FLOATM~1.EXE C:\Program\Skype\Phone\Skype.exe C:\Program\Messenger\msmsgs.exe C:\Program\WIDCOMM\Bluetooth-programvara\BTTray.exe C:\WINDOWS\System32\svchost.exe C:\Program\WIDCOMM\BLUETO~1\BTSTAC~1.EXE C:\Program\Internet Explorer\iexplore.exe C:\Peter\The All-Seeing Eye\eye.exe C:\Program\Valve\Steam\Steam.exe C:\Peter\Download\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.yvlrjsdwwnzswbjeruvzq.net/fkPb1RtLRjc16KknAReVyCOIrbQM2oHO6LQ/l0NHjVxvDCquCWHDFzQmyjMJq4io.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.se/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {080B416B-D47F-C170-8796-BCE98C5E6D75} - C:\DOCUME~1\DRAGON~1\APPLIC~1\16this\Phone sign.exe (file missing) O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe O4 - HKLM\..\Run: [CTSysVol] C:\Program\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r O4 - HKLM\..\Run: [CTDVDDET] C:\Program\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [sBDrvDet] C:\Program\Creative\SB Drive Det\SBDrvDet.exe /r O4 - HKLM\..\Run: [updReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH O4 - HKLM\..\Run: [WinampAgent] C:\Peter\Winamp\winampa.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program\Java\j2re1.4.2_06\bin\jusched.exe O4 - HKLM\..\Run: [Armyhtmballmore] C:\Documents and Settings\All Users\Application Data\BendMeowArmyHtm\part sign.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [RemoteCenter] C:\Program\Creative\MediaSource\RemoteControl\RCMan.EXE O4 - HKCU\..\Run: [steam] "c:\program\valve\steam\steam.exe" -silent O4 - HKCU\..\Run: [floAt's Media Control] C:\Program\FMA2~1\SFRAME~1\helper\FLOATM~1.EXE O4 - HKCU\..\Run: [skype] "C:\Program\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [64 bike] C:\DOCUME~1\DRAGON~1\APPLIC~1\TRANSG~1\Hold Eggs.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program\Messenger\msmsgs.exe" /background O4 - Global Startup: BTTray.lnk = ? O8 - Extra context menu item: Skicka till &Bluetooth - C:\Program\WIDCOMM\Bluetooth-programvara\btsendto_ie_ctx.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\j2re1.4.2_06\bin\npjpi142_06.dll O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\j2re1.4.2_06\bin\npjpi142_06.dll O9 - Extra button: Referensinformation - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Program\MICROS~4\OFFICE11\REFIEBAR.DLL O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program\WIDCOMM\Bluetooth-programvara\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program\WIDCOMM\Bluetooth-programvara\btsendto_ie.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/ClickYesToContinue/ie/bridge-c9.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_mp3.cab O23 - Service: Bluetooth Service - WIDCOMM, Inc. - C:\Program\WIDCOMM\Bluetooth-programvara\bin\btwdins.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe O23 - Service: Norman API-hooking helper - Unknown - C:\NORMAN\Nvc\BIN\nipsvc.exe O23 - Service: Norman NJeeves - Unknown - C:\NORMAN\Nvc\BIN\NJEEVES.EXE O23 - Service: Norman Type-R - Unknown - C:\NORMAN\Nvc\BIN\NPFSVICE.EXE O23 - Service: Norman ZANDA - Unknown - C:\Norman\Nvc\BIN\Zanda.exe O23 - Service: Norman Virus Control on-access component - Norman ASA - C:\NORMAN\Nvc\BIN\nvcoas.exe O23 - Service: Norman Virus Control Scheduler - Norman Data Defense Systems - C:\NORMAN\Nvc\BIN\NVCSCHED.EXE vad ska jag fixa? MVH DragonPuffer [inlägget ändrat 2005-02-04 16:31:14 av DragonPuffer] [inlägget ändrat 2005-02-04 16:31:41 av DragonPuffer] Link to comment Share on other sites More sharing options...
Cecilia Posted February 4, 2005 Share Posted February 4, 2005 Messenger Plus är känt för att installera diverse olika spionprogram på datorn om man inte är väldigt försiktig när man installerar det och avbockar allt som har med sponsorer att göra. Du ser ut att ha avinstallera Messenger Plus, stämmer det? Annars så måste du börja med det. För att du inte ska råka återställa systemet till ett läge med dessa otrevligheter så föreslår jag att du stänger av systemåterställningsfunktionen för att ta bort alla systemåterställningspunkter. Den här datorn - Egenskaper - Systemåterställning När datorn är ren så ska den slås på igen. Var säker på att du förstår allt nedan innan du fortsätter, fråga annars. Kör HijackThis och skanna. Bocka för dessa rader: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.yvlrjsdwwnzswbjeruvzq.net/fkPb1RtLRjc16KknAReVyCOIrbQM 2oHO6LQ/l0NHjVxvDCquCWHDFzQmyjMJq4io.html O2 - BHO: (no name) - {080B416B-D47F-C170-8796-BCE98C5E6D75} - C:\DOCUME~1\DRAGON~1\APPLIC~1\16this\Phone sign.exe (file missing) O4 - HKLM\..\Run: [Armyhtmballmore] C:\Documents and Settings\All Users\Application Data\BendMeowArmyHtm\part sign.exe O4 - HKCU\..\Run: [64 bike] C:\DOCUME~1\DRAGON~1\APPLIC~1\TRANSG~1\Hold Eggs.exe O4 - Global Startup: BTTray.lnk = ? O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/ClickYesToContinue/ie/bridge-c9 .cab O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_mp3.cab Avsluta alla program och fönster, förutom HijackThis. Dra ur internetförbindelsen. Tryck på Fix checked. Starta om i felsäkert läge. Ta bort dessa mappar: C:\Documents and Settings\All Users\Application Data\BendMeowArmyHtm C:\DOCUME~1\DRAGON~1\APPLIC~1\TRANSG~1 där ~1 står för ett antal godtyckliga tecken. Starta om i normalt läge. Anslut internet igen. Ta ut en ny HijackThis-logg. Skriv hur det har gått och hur din dator uppför sig nu samt bifoga den nya loggen på detta sätt: Tryck på LOG-knappen i Besvara fönstret Klistra in loggen Tryck igen på LOG-knappen Link to comment Share on other sites More sharing options...
DragonPuffer Posted February 4, 2005 Author Share Posted February 4, 2005 Jag gjorde allt som du sa , men när jag startade i felsäkert läge fanns det inga mappar vid namn: C:\Documents and Settings\All Users\Application Data\BendMeowArmyHtm C:\DOCUME~1\DRAGON~1\APPLIC~1\TRANSG~1 Hijackthis loggen efter alla jag gjorde: Logfile of HijackThis v1.99.0 Scan saved at 17:44:32, on 2005-02-04 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\svchost.exe C:\Program\WIDCOMM\Bluetooth-programvara\bin\btwdins.exe C:\WINDOWS\System32\CTsvcCDA.exe C:\Program\Delade filer\Microsoft Shared\VS7DEBUG\MDM.EXE C:\NORMAN\Nvc\BIN\NPFSVICE.EXE C:\Norman\Nvc\BIN\Zanda.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\WINDOWS\Explorer.EXE C:\ATI-CPanel\atiptaxx.exe C:\Program\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe C:\Program\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE C:\WINDOWS\system32\CTHELPER.EXE C:\NORMAN\Nvc\BIN\ZLH.EXE C:\Peter\Winamp\winampa.exe C:\NORMAN\Nvc\BIN\NJEEVES.EXE C:\NORMAN\Nvc\BIN\nipsvc.exe C:\NORMAN\Nvc\BIN\NYMSE.EXE C:\NORMAN\Nvc\BIN\NIP.EXE C:\Program\D-Tools\daemon.exe C:\WINDOWS\system32\rundll32.exe C:\Program\Java\j2re1.4.2_06\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\NORMAN\Nvc\BIN\NVCSCHED.EXE C:\Program\Creative\MediaSource\RemoteControl\RCMan.EXE C:\Program\FMA2~1\SFRAME~1\helper\FLOATM~1.EXE C:\Program\Skype\Phone\Skype.exe C:\NORMAN\Nvc\BIN\npfmsg2.exe C:\Program\Messenger\msmsgs.exe C:\NORMAN\Nvc\BIN\nvcoas.exe C:\WINDOWS\System32\alg.exe C:\NORMAN\Nvc\BIN\cclaw.exe C:\WINDOWS\System32\svchost.exe C:\Program\Internet Explorer\iexplore.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\System32\wbem\wmiprvse.exe C:\Peter\Download\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.se/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe O4 - HKLM\..\Run: [CTSysVol] C:\Program\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r O4 - HKLM\..\Run: [CTDVDDET] C:\Program\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [sBDrvDet] C:\Program\Creative\SB Drive Det\SBDrvDet.exe /r O4 - HKLM\..\Run: [updReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH O4 - HKLM\..\Run: [WinampAgent] C:\Peter\Winamp\winampa.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program\Java\j2re1.4.2_06\bin\jusched.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [RemoteCenter] C:\Program\Creative\MediaSource\RemoteControl\RCMan.EXE O4 - HKCU\..\Run: [steam] "c:\program\valve\steam\steam.exe" -silent O4 - HKCU\..\Run: [floAt's Media Control] C:\Program\FMA2~1\SFRAME~1\helper\FLOATM~1.EXE O4 - HKCU\..\Run: [skype] "C:\Program\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [MSMSGS] "C:\Program\Messenger\msmsgs.exe" /background O8 - Extra context menu item: Skicka till &Bluetooth - C:\Program\WIDCOMM\Bluetooth-programvara\btsendto_ie_ctx.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\j2re1.4.2_06\bin\npjpi142_06.dll O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\j2re1.4.2_06\bin\npjpi142_06.dll O9 - Extra button: Referensinformation - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Program\MICROS~4\OFFICE11\REFIEBAR.DLL O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program\WIDCOMM\Bluetooth-programvara\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program\WIDCOMM\Bluetooth-programvara\btsendto_ie.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab O23 - Service: Bluetooth Service - WIDCOMM, Inc. - C:\Program\WIDCOMM\Bluetooth-programvara\bin\btwdins.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe O23 - Service: Norman API-hooking helper - Unknown - C:\NORMAN\Nvc\BIN\nipsvc.exe O23 - Service: Norman NJeeves - Unknown - C:\NORMAN\Nvc\BIN\NJEEVES.EXE O23 - Service: Norman Type-R - Unknown - C:\NORMAN\Nvc\BIN\NPFSVICE.EXE O23 - Service: Norman ZANDA - Unknown - C:\Norman\Nvc\BIN\Zanda.exe O23 - Service: Norman Virus Control on-access component - Norman ASA - C:\NORMAN\Nvc\BIN\nvcoas.exe O23 - Service: Norman Virus Control Scheduler - Norman Data Defense Systems - C:\NORMAN\Nvc\BIN\NVCSCHED.EXE Alla länkar och hotbars är borta nu iallafall , får se om det dyker upp nå popups men änsålänge verkar allt fungera! Tack! [inlägget ändrat 2005-02-04 17:46:41 av DragonPuffer] Link to comment Share on other sites More sharing options...
Cecilia Posted February 4, 2005 Share Posted February 4, 2005 Hej du, du missade det jag skrev sist i mitt inlägg angående hur loggar ska klistras in. Roligt att datorn verkar uppföra sig bättre nu. Jag ser heller inget otrevligt i loggen. Att mapparna var borta kan antingen bero på att HijackThis hade lyckats ta bort dem eller att du inte har Utforskaren inställd för att se alla filer. Verktyg - Mappalternativ - Visning Välj Visa dolda filer och mappar Avbocka Dölj skyddade operativsystemfiler Bocka för Visa innehållet i systemmappar Gör det och kolla igen, du behöver inte vara i felsäkert läge. För att skydda din dator i framtiden så kan jag rekommendera antispionprogrammen Ad-aware och Spybot - Search & Destroy. http://www.lavasoft.de/ http://spybot.safer-networking.de/ SpywareBlaster och SpywareGuard förhindrar en del otrevliga program från att laddas ner resp. köras: http://www.javacoolsoftware.com IE-SpyAd lägger en massa webbplatser i zonen Ej tillförlitliga så att de inte kan göra något med din dator: https://netfiles.uiuc.edu/ehowes/www/resource.htm Se dessutom över dina säkerhetsinställningar i Internet Explorer, det finns en del tips på den här sidan: https://netfiles.uiuc.edu/ehowes/www/btw/ie/ie-opts.htm Link to comment Share on other sites More sharing options...
.thumb.png.71a73be41d8bf63826729db87e16f1ce.png)
Recommended Posts
Archived
This topic is now archived and is closed to further replies.