Pest-patrol

[Iron]

Hej! Jag scannade min burk på Pest-patrol och får upp det här resultatet:

 

Twain-Tech-Browser Helper Object

P2P Networking - Adware

System Soap Pro - Adware

Kazaa - P2P

Grokster - P2P

TOPicks - Adware

SearchCentrix - Hijacker

Radlight - Trojan

 

Är allt detta "skadliga" program som man kan slänga och hur slänger man dem i så fall?

 

Jag kan direkt säga att Kazaa och Radlight använder jag inte.

 

Någon snäll som vill hjälpa? Cecilia kanske? Du brukar ju vara en klippa när det gäller sånt här

 

[Cecilia]

Då är det väl bäst att jag försöker hjälpa till då.

 

Det låter som otrevliga historier allihop. Vill du veta mer så kan du slå upp dem här:

http://www3.ca.com/securityadvisor/pest/search.aspx

 

Pest Patrol kan inte ta bort dem?

 

Twain-tech brukar gå att avinstallera i Kontrollpanelen - Lägg till och ta bort program.

 

Kazaa och kanske några av de andra tar man bort med programmet KazaaBegone, det finns här:

http://www.spywareinfo.com/~merijn/downloads.html'>http://www.spywareinfo.com/~merijn/downloads.html

Läs texten om programmet noga och se till att ta hem LSPFix först.

 

Kör dessa online-skanningar:

http://housecall.trendmicro.com/housecall/start_corp.asp

http://www.pandasoftware.com/activescan/com/activescan_principal.htm

 

Sedan är det lämpligt att köra antispionprogrammen Ad-aware och Spybot - Search & Destroy:

http://www.lavasoft.de/swedish/support/download/

http://www.lavasoftsupport.com/index.php?showtopic=42066 (instruktioner)

http://www.safer-networking.org/en/download/index.html

 

När allt ovan är gjort så ladda hem HijackThis:

http://www.spywareinfo.com/~merijn/downloads.html

Kör, skanna och spara loggen.

 

Skriv här vad du har gjort och hur det har gått samt bifoga loggen från HijackThis på detta sätt:

Tryck på LOG-knappen i Besvara-fönstret

Klistra in loggen

Tryck igen på LOG-knappen

 

[Iron]

Tack för snabbt svar.

Tyvärr måste man nog ha betalversionen av Pest-patrol för att ta bort saker och det har jag inte.

Det verkar vara rätt mycket risker med KazaaBegone och i synnerhet LSPFix men eftersom det står vad filerna i Pest-patrol heter så borde jag ju kunna plocka bort dem i regedit fast tyvärr hittas dem inte. Någon som vet varför?

 

Jag kör adaware, spywareblaster och Spywareguard (jepp, jag är paranoid : )) och har NIS & Anti-virus 04 men det enda som hittar just dessa filer är Pest-patrol.

 

Man måste ju kunna plocka bort skiten manuellt och slippa installera en massa andra program som i sin tur säkert är opålitliga, eller?

 

[inlägget ändrat 2005-02-17 18:00:39 av Iron]

[Cecilia]

Tycker inte du är paranoid, det där är bara de program som jag brukar rekommendera förutom att jag också brukar rekommendera Spybot S&D också.

 

Prova Spybot och online-skanningarna följt av HijackThis så får vi se vad det blir för resultat av det. Det är inte alltid så lätt att gå in i registret på måfå.

 

KazaaBegone och LSPFix kan du hoppa över så länge tills vi verkligen vet att de behövs, syns i så fall i HijackThis-loggen.

 

[Iron]

Så här ser loggen ut från Hijackthis:

 

 

[log]Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\AGRSMMSG.exe

C:\Program\Synaptics\SynTP\SynTPLpr.exe

C:\Program\Synaptics\SynTP\SynTPEnh.exe

C:\Program\Toshiba\Toshiba Applet\thotkey.exe

C:\Program\TOSHIBA\ConfigFree\NDSTray.exe

C:\Program\TOSHIBA\Toshibas zoomningsfunktion\SmoothView.exe

C:\Program\TOSHIBA\PadTouch\PadExe.exe

C:\WINDOWS\system32\TPSBattM.exe

C:\Program\TOSHIBA\TOSHIBAs kontroller\TFncKy.exe

C:\Program\Java\j2re1.4.2_05\bin\jusched.exe

C:\Program\Delade filer\Symantec Shared\ccApp.exe

C:\Program\iTunes\iTunesHelper.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program\TOSHIBA\TOSCDSPD\toscdspd.exe

C:\Program\Adobe\Acrobat 6.0\Distillr\acrotray.exe

C:\Program\SpywareGuard\sgmain.exe

C:\Program\SpywareGuard\sgbhp.exe

C:\Program\Delade filer\Symantec Shared\ccProxy.exe

C:\Program\Delade filer\Symantec Shared\ccSetMgr.exe

C:\Program\TOSHIBA\ConfigFree\CFSvcs.exe

C:\Program\Norton Internet Security\Norton AntiVirus\navapsvc.exe

C:\Program\Delade filer\Symantec Shared\SNDSrvc.exe

C:\WINDOWS\System32\svchost.exe

C:\Program\Delade filer\Symantec Shared\ccEvtMgr.exe

C:\Program\Delade filer\Symantec Shared\Security Center\SymWSC.exe

C:\Program\iPod\bin\iPodService.exe

C:\Program\Norton Internet Security\Norton AntiVirus\SAVScan.exe

C:\Program\Microsoft Office\OFFICE11\POWERPNT.EXE

C:\WINDOWS\System32\WISPTIS.EXE

C:\Program\MSN Messenger\msnmsgr.exe

C:\Program\Internet Explorer\iexplore.exe

C:\Program\Adobe\Acrobat 6.0\Acrobat\Acrobat.exe

C:\Program\WinRAR\WinRAR.exe

C:\DOCUME~1\MAAAAA~1\LOKALA~1\Temp\Rar$EX00.891\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.sve.chello.se/ssi/welcome/welcome.php?url=search

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aftonbladet.se/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.sve.chello.se/ssi/welcome/welcome.php?url=home

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer erhållet av chello broadband n.v.

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program\SpywareGuard\dlprotect.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program\Delade filer\Symantec Shared\AdBlocking\NISShExt.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program\Delade filer\Symantec Shared\AdBlocking\NISShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [synTPLpr] C:\Program\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [TPSMain] TPSMain.exe

O4 - HKLM\..\Run: [THotkey] C:\Program\Toshiba\Toshiba Applet\thotkey.exe

O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe

O4 - HKLM\..\Run: [smoothView] C:\Program\TOSHIBA\Toshibas zoomningsfunktion\SmoothView.exe

O4 - HKLM\..\Run: [PadTouch] "C:\Program\TOSHIBA\PadTouch\PadExe.exe

O4 - HKLM\..\Run: [TFncKy] TFncKy.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program\Java\j2re1.4.2_05\bin\jusched.exe

O4 - HKLM\..\Run: [ccApp] "C:\Program\Delade filer\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [urlLSTCK.exe] C:\Program\Norton Internet Security\UrlLstCk.exe

O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] C:\Program\iTunes\iTunesHelper.exe

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\Program\SYMNET~1\SNDMon.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [TOSCDSPD] C:\Program\TOSHIBA\TOSCDSPD\toscdspd.exe

O4 - Startup: SpywareGuard.lnk = C:\Program\SpywareGuard\sgmain.exe

O4 - Global Startup: Acrobat Assistant.lnk = C:\Program\Adobe\Acrobat 6.0\Distillr\acrotray.exe

O4 - Global Startup: Snabbstart för Microsoft Office OneNote 2003.lnk = C:\Program\Microsoft Office\OFFICE11\ONENOTEM.EXE

O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\Program\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra button: Referensinformation - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Program\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://home.sve.chello.se/ssi/welcome/welcome.php?url=home

O16 - DPF: ppctlcab - http://www.my-etrust.com/includes/pscanner/ppctlcab.CAB

O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.my-etrust.com/includes/pscanner/axscanner.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab

O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\ccSetMgr.exe

O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program\TOSHIBA\ConfigFree\CFSvcs.exe

O23 - Service: iPod-tjänst (iPodService) - Apple Computer, Inc. - C:\Program\iPod\bin\iPodService.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program\Delade filer\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Norton AntiVirus Auto Protect-tjänst (navapsvc) - Symantec Corporation - C:\Program\Norton Internet Security\Norton AntiVirus\navapsvc.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Program\Norton Internet Security\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\Program\DELADE~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\SNDSrvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\Security Center\SymWSC.exe

 

[/log]

[inlägget ändrat 2005-02-17 23:41:30 av Iron]

[Cecilia]

Rapporterade online-skanningarna något?

 

Det vore bra med hela loggen så att jag kan se vad du har för Windows, en del filer ska bara finnas i vissa Windows-versioner och för vissa versioner behövs särskilda saker göras för att få bort otrevligheter.

 

Var säker på att du förstår allt nedan innan du fortsätter, fråga annars.

 

Eftersom HijackThis sparar säkerhetskopior på allt den gör i samma mapp som den körbara filen HijackThis.exe ligger i, så går det inte att köra den innifrån WinRAR. Skapa en ny mapp t ex C:\HjT och flytta den körbara filen HijackThis.exe dit från WinRAR. Den nedladdade filen hijackthis.zip kan du slänga efteråt, den behövs inte något mer.

 

Du har P2P Networking igång på datorn:

http://www.kephyr.com/spywarescanner/library/p2pnetworking/index.phtml

Avinstallera enligt beskrivningen där. Det var någon som rapporterade att internet slutade att funka och i så fall fanns det en installationsfil i mappen C:\WINDOWS\System32\P2P Networking för att installera igen. Men pröva med avinstallationen, blir du tvungen att installera igen så får vi försöka med något annat sätt att blir av med det.

 

Kör HijackThis och skanna. Bocka för denna rad:

O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -

 

Avsluta alla program och fönster förutom HijackThis.

Tryck på Fix checked.

Starta om datorn.

 

Tala om hur det har gått med P2P Networking samt bifoga en ny HijackThis-logg. Skriv också ner i vilka filer etc som Pest-patrol anser att du har otrevligheterna eftersom det bara är P2P networking som syns i din logg.