hijack this logg, behöver hjälp!

[DragonPuffer]

Jo jag installerade MSN messenger plus får nån vecka sen och fick massa skit , dels två hotbars i explorer och massa länkar i favoriter som ej går att ta bort!

 

Plus att jag nu får popups hela tiden fast än mitt ie inte är igång.

har kört adaware varje dag men det hjälper inte så jag örde hijackthis och behöver hjälp med loggen

 

Loggen följer nedan:

 

Logfile of HijackThis v1.99.0

Scan saved at 16:17:19, on 2005-02-04

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\svchost.exe

C:\Program\WIDCOMM\Bluetooth-programvara\bin\btwdins.exe

C:\WINDOWS\System32\CTsvcCDA.exe

C:\Program\Delade filer\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\NORMAN\Nvc\BIN\NPFSVICE.EXE

C:\Norman\Nvc\BIN\Zanda.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\NORMAN\Nvc\BIN\NJEEVES.EXE

C:\NORMAN\Nvc\BIN\nvcoas.exe

C:\NORMAN\Nvc\BIN\nipsvc.exe

C:\NORMAN\Nvc\BIN\NVCSCHED.EXE

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\Explorer.EXE

C:\ATI-CPanel\atiptaxx.exe

C:\Program\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe

C:\Program\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE

C:\WINDOWS\system32\CTHELPER.EXE

C:\NORMAN\Nvc\BIN\ZLH.EXE

C:\Peter\Winamp\winampa.exe

C:\Program\D-Tools\daemon.exe

C:\NORMAN\Nvc\BIN\NYMSE.EXE

C:\NORMAN\Nvc\BIN\NIP.EXE

C:\NORMAN\Nvc\BIN\cclaw.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program\Java\j2re1.4.2_06\bin\jusched.exe

C:\NORMAN\Nvc\BIN\npfmsg2.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program\Internet Explorer\iexplore.exe

C:\Program\Creative\MediaSource\RemoteControl\RCMan.EXE

C:\Program\FMA2~1\SFRAME~1\helper\FLOATM~1.EXE

C:\Program\Skype\Phone\Skype.exe

C:\Program\Messenger\msmsgs.exe

C:\Program\WIDCOMM\Bluetooth-programvara\BTTray.exe

C:\WINDOWS\System32\svchost.exe

C:\Program\WIDCOMM\BLUETO~1\BTSTAC~1.EXE

C:\Program\Internet Explorer\iexplore.exe

C:\Peter\The All-Seeing Eye\eye.exe

C:\Program\Valve\Steam\Steam.exe

C:\Peter\Download\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.yvlrjsdwwnzswbjeruvzq.net/fkPb1RtLRjc16KknAReVyCOIrbQM2oHO6LQ/l0NHjVxvDCquCWHDFzQmyjMJq4io.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.se/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {080B416B-D47F-C170-8796-BCE98C5E6D75} - C:\DOCUME~1\DRAGON~1\APPLIC~1\16this\Phone sign.exe (file missing)

O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe

O4 - HKLM\..\Run: [CTSysVol] C:\Program\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r

O4 - HKLM\..\Run: [CTDVDDET] C:\Program\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [sBDrvDet] C:\Program\Creative\SB Drive Det\SBDrvDet.exe /r

O4 - HKLM\..\Run: [updReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH

O4 - HKLM\..\Run: [WinampAgent] C:\Peter\Winamp\winampa.exe

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program\Java\j2re1.4.2_06\bin\jusched.exe

O4 - HKLM\..\Run: [Armyhtmballmore] C:\Documents and Settings\All Users\Application Data\BendMeowArmyHtm\part sign.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [RemoteCenter] C:\Program\Creative\MediaSource\RemoteControl\RCMan.EXE

O4 - HKCU\..\Run: [steam] "c:\program\valve\steam\steam.exe" -silent

O4 - HKCU\..\Run: [floAt's Media Control] C:\Program\FMA2~1\SFRAME~1\helper\FLOATM~1.EXE

O4 - HKCU\..\Run: [skype] "C:\Program\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [64 bike] C:\DOCUME~1\DRAGON~1\APPLIC~1\TRANSG~1\Hold Eggs.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program\Messenger\msmsgs.exe" /background

O4 - Global Startup: BTTray.lnk = ?

O8 - Extra context menu item: Skicka till &Bluetooth - C:\Program\WIDCOMM\Bluetooth-programvara\btsendto_ie_ctx.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\j2re1.4.2_06\bin\npjpi142_06.dll

O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\j2re1.4.2_06\bin\npjpi142_06.dll

O9 - Extra button: Referensinformation - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Program\MICROS~4\OFFICE11\REFIEBAR.DLL

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program\WIDCOMM\Bluetooth-programvara\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program\WIDCOMM\Bluetooth-programvara\btsendto_ie.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/ClickYesToContinue/ie/bridge-c9.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_mp3.cab

O23 - Service: Bluetooth Service - WIDCOMM, Inc. - C:\Program\WIDCOMM\Bluetooth-programvara\bin\btwdins.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe

O23 - Service: Norman API-hooking helper - Unknown - C:\NORMAN\Nvc\BIN\nipsvc.exe

O23 - Service: Norman NJeeves - Unknown - C:\NORMAN\Nvc\BIN\NJEEVES.EXE

O23 - Service: Norman Type-R - Unknown - C:\NORMAN\Nvc\BIN\NPFSVICE.EXE

O23 - Service: Norman ZANDA - Unknown - C:\Norman\Nvc\BIN\Zanda.exe

O23 - Service: Norman Virus Control on-access component - Norman ASA - C:\NORMAN\Nvc\BIN\nvcoas.exe

O23 - Service: Norman Virus Control Scheduler - Norman Data Defense Systems - C:\NORMAN\Nvc\BIN\NVCSCHED.EXE

 

 

 

vad ska jag fixa?

MVH DragonPuffer

 

[inlägget ändrat 2005-02-04 16:31:14 av DragonPuffer]

[inlägget ändrat 2005-02-04 16:31:41 av DragonPuffer]

[Cecilia]

Messenger Plus är känt för att installera diverse olika spionprogram på datorn om man inte är väldigt försiktig när man installerar det och avbockar allt som har med sponsorer att göra.

Du ser ut att ha avinstallera Messenger Plus, stämmer det? Annars så måste du börja med det.

 

För att du inte ska råka återställa systemet till ett läge med dessa otrevligheter så föreslår jag att du stänger av systemåterställningsfunktionen för att ta bort alla systemåterställningspunkter.

Den här datorn - Egenskaper - Systemåterställning

När datorn är ren så ska den slås på igen.

 

Var säker på att du förstår allt nedan innan du fortsätter, fråga annars.

 

Kör HijackThis och skanna. Bocka för dessa rader:

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.yvlrjsdwwnzswbjeruvzq.net/fkPb1RtLRjc16KknAReVyCOIrbQM

2oHO6LQ/l0NHjVxvDCquCWHDFzQmyjMJq4io.html

O2 - BHO: (no name) - {080B416B-D47F-C170-8796-BCE98C5E6D75} - C:\DOCUME~1\DRAGON~1\APPLIC~1\16this\Phone sign.exe (file missing)

O4 - HKLM\..\Run: [Armyhtmballmore] C:\Documents and Settings\All Users\Application Data\BendMeowArmyHtm\part sign.exe

O4 - HKCU\..\Run: [64 bike] C:\DOCUME~1\DRAGON~1\APPLIC~1\TRANSG~1\Hold Eggs.exe

O4 - Global Startup: BTTray.lnk = ?

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/ClickYesToContinue/ie/bridge-c9

.cab

O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_mp3.cab

 

Avsluta alla program och fönster, förutom HijackThis. Dra ur internetförbindelsen.

 

Tryck på Fix checked.

 

Starta om i felsäkert läge.

 

Ta bort dessa mappar:

C:\Documents and Settings\All Users\Application Data\BendMeowArmyHtm

C:\DOCUME~1\DRAGON~1\APPLIC~1\TRANSG~1

där ~1 står för ett antal godtyckliga tecken.

 

Starta om i normalt läge.

 

Anslut internet igen.

Ta ut en ny HijackThis-logg.

Skriv hur det har gått och hur din dator uppför sig nu samt bifoga den nya loggen på detta sätt:

Tryck på LOG-knappen i Besvara fönstret

Klistra in loggen

Tryck igen på LOG-knappen

 

 

[DragonPuffer]

Jag gjorde allt som du sa , men när jag startade i felsäkert läge fanns det inga mappar vid namn:

C:\Documents and Settings\All Users\Application Data\BendMeowArmyHtm

C:\DOCUME~1\DRAGON~1\APPLIC~1\TRANSG~1

 

Hijackthis loggen efter alla jag gjorde:

 

Logfile of HijackThis v1.99.0

Scan saved at 17:44:32, on 2005-02-04

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\svchost.exe

C:\Program\WIDCOMM\Bluetooth-programvara\bin\btwdins.exe

C:\WINDOWS\System32\CTsvcCDA.exe

C:\Program\Delade filer\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\NORMAN\Nvc\BIN\NPFSVICE.EXE

C:\Norman\Nvc\BIN\Zanda.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\WINDOWS\Explorer.EXE

C:\ATI-CPanel\atiptaxx.exe

C:\Program\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe

C:\Program\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE

C:\WINDOWS\system32\CTHELPER.EXE

C:\NORMAN\Nvc\BIN\ZLH.EXE

C:\Peter\Winamp\winampa.exe

C:\NORMAN\Nvc\BIN\NJEEVES.EXE

C:\NORMAN\Nvc\BIN\nipsvc.exe

C:\NORMAN\Nvc\BIN\NYMSE.EXE

C:\NORMAN\Nvc\BIN\NIP.EXE

C:\Program\D-Tools\daemon.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program\Java\j2re1.4.2_06\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\NORMAN\Nvc\BIN\NVCSCHED.EXE

C:\Program\Creative\MediaSource\RemoteControl\RCMan.EXE

C:\Program\FMA2~1\SFRAME~1\helper\FLOATM~1.EXE

C:\Program\Skype\Phone\Skype.exe

C:\NORMAN\Nvc\BIN\npfmsg2.exe

C:\Program\Messenger\msmsgs.exe

C:\NORMAN\Nvc\BIN\nvcoas.exe

C:\WINDOWS\System32\alg.exe

C:\NORMAN\Nvc\BIN\cclaw.exe

C:\WINDOWS\System32\svchost.exe

C:\Program\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\System32\wbem\wmiprvse.exe

C:\Peter\Download\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.se/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe

O4 - HKLM\..\Run: [CTSysVol] C:\Program\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r

O4 - HKLM\..\Run: [CTDVDDET] C:\Program\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [sBDrvDet] C:\Program\Creative\SB Drive Det\SBDrvDet.exe /r

O4 - HKLM\..\Run: [updReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH

O4 - HKLM\..\Run: [WinampAgent] C:\Peter\Winamp\winampa.exe

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program\Java\j2re1.4.2_06\bin\jusched.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [RemoteCenter] C:\Program\Creative\MediaSource\RemoteControl\RCMan.EXE

O4 - HKCU\..\Run: [steam] "c:\program\valve\steam\steam.exe" -silent

O4 - HKCU\..\Run: [floAt's Media Control] C:\Program\FMA2~1\SFRAME~1\helper\FLOATM~1.EXE

O4 - HKCU\..\Run: [skype] "C:\Program\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [MSMSGS] "C:\Program\Messenger\msmsgs.exe" /background

O8 - Extra context menu item: Skicka till &Bluetooth - C:\Program\WIDCOMM\Bluetooth-programvara\btsendto_ie_ctx.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\j2re1.4.2_06\bin\npjpi142_06.dll

O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\j2re1.4.2_06\bin\npjpi142_06.dll

O9 - Extra button: Referensinformation - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Program\MICROS~4\OFFICE11\REFIEBAR.DLL

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program\WIDCOMM\Bluetooth-programvara\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program\WIDCOMM\Bluetooth-programvara\btsendto_ie.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O23 - Service: Bluetooth Service - WIDCOMM, Inc. - C:\Program\WIDCOMM\Bluetooth-programvara\bin\btwdins.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe

O23 - Service: Norman API-hooking helper - Unknown - C:\NORMAN\Nvc\BIN\nipsvc.exe

O23 - Service: Norman NJeeves - Unknown - C:\NORMAN\Nvc\BIN\NJEEVES.EXE

O23 - Service: Norman Type-R - Unknown - C:\NORMAN\Nvc\BIN\NPFSVICE.EXE

O23 - Service: Norman ZANDA - Unknown - C:\Norman\Nvc\BIN\Zanda.exe

O23 - Service: Norman Virus Control on-access component - Norman ASA - C:\NORMAN\Nvc\BIN\nvcoas.exe

O23 - Service: Norman Virus Control Scheduler - Norman Data Defense Systems - C:\NORMAN\Nvc\BIN\NVCSCHED.EXE

 

 

 

Alla länkar och hotbars är borta nu iallafall , får se om det dyker upp nå popups men änsålänge verkar allt fungera!

 

Tack!

[inlägget ändrat 2005-02-04 17:46:41 av DragonPuffer]

[Cecilia]

Hej du, du missade det jag skrev sist i mitt inlägg angående hur loggar ska klistras in.

 

Roligt att datorn verkar uppföra sig bättre nu.

Jag ser heller inget otrevligt i loggen.

 

Att mapparna var borta kan antingen bero på att HijackThis hade lyckats ta bort dem eller att du inte har Utforskaren inställd för att se alla filer.

Verktyg - Mappalternativ - Visning

Välj Visa dolda filer och mappar

Avbocka Dölj skyddade operativsystemfiler

Bocka för Visa innehållet i systemmappar

Gör det och kolla igen, du behöver inte vara i felsäkert läge.

 

För att skydda din dator i framtiden så kan jag rekommendera antispionprogrammen Ad-aware och Spybot - Search & Destroy.

http://www.lavasoft.de/

http://spybot.safer-networking.de/

 

SpywareBlaster och SpywareGuard förhindrar en del otrevliga program från att laddas ner resp. köras:

http://www.javacoolsoftware.com

 

IE-SpyAd lägger en massa webbplatser i zonen Ej tillförlitliga så att de inte kan göra något med din dator:

https://netfiles.uiuc.edu/ehowes/www/resource.htm

 

Se dessutom över dina säkerhetsinställningar i Internet Explorer, det finns en del tips på den här sidan:

https://netfiles.uiuc.edu/ehowes/www/btw/ie/ie-opts.htm