Just nu i M3-nätverket
Jump to content

Spyware som vägrar försvinna..


Älin

Recommended Posts

Hej!

 

Vi har fått in en himla massa skit på datorn, bla toolbars som dyker upp när man öppnar internet explorer, pop-up rutor och när man skrivit fel adress i adressfältet så kommer man till "search the web" istället för att få se "Sidan kan inte visas".

 

Norton hittar inget fel på datorn, och ad-aware hittar spyware som vi tar bort men som kommer tillbaka igen.

 

 

(bifogar en logg)

 

[log]

Logfile of HijackThis v1.99.1

Scan saved at 11:52:38, on 2005-03-26

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program\Belkin\Bluetooth Software\bin\btwdins.exe

c:\Program\Delade filer\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\System32\CTsvcCDA.exe

C:\WINDOWS\System32\GEARSEC.EXE

C:\Program\Delade filer\Microsoft Shared\VS7Debug\mdm.exe

c:\Program\Norton AntiVirus\navapsvc.exe

C:\Program\Norton Internet Security\NISUM.EXE

C:\WINDOWS\system32\Smartscaps.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\Program\Delade filer\Symantec Shared\Security Center\SymWSC.exe

C:\Program\Norton Internet Security\ccPxySvc.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Program\iPod\bin\iPodService.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Program\Delade filer\Symantec Shared\ccApp.exe

C:\WINDOWS\system32\CTHELPER.EXE

C:\Program\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program\WinPortrait\wpctrl.exe

C:\HP\KBD\KBD.EXE

C:\WINDOWS\system32\rundll32.exe

C:\Program\DELADE~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe

C:\Program\WinPortrait\floater.exe

C:\Program\Delade filer\Real\Update_OB\realsched.exe

C:\Program\QuickTime\qttask.exe

C:\Program\USB Storage RW\shwicon.exe

C:\windows\system\hpsysdrv.exe

C:\Program\Java\jre1.5.0_02\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program\Internet Explorer\iexplore.exe

C:\Program\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

C:\Program\Belkin\Bluetooth Software\BTTray.exe

C:\Program\SmartTrust\SmartTrust Personal\Csp\SmartCertmover.exe

C:\Program\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe

C:\Program\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\Program\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe

C:\Program\Mozilla Firefox\firefox.exe

C:\WINDOWS\explorer.exe

C:\Program\Messenger\msmsgs.exe

C:\DOCUME~1\Elin\LOKALA~1\Temp\Temporär katalog 2 för hijackthis.zip\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.se/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {3903F0AD-6123-C14B-2512-8935C0FC8CEA} - C:\DOCUME~1\Karin\APPLIC~1\INSIDE~1\free curb.exe

O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - c:\Program\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Program\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [ccApp] "C:\Program\Delade filer\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [ccRegVfy] "c:\Program\Delade filer\Symantec Shared\ccRegVfy.exe"

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [ATIPTA] C:\Program\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [updReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [Jet Detection] C:\Program\Creative\SBAudigy\PROGRAM\ADGJDet.exe

O4 - HKLM\..\Run: [PivotSoftware] "C:\Program\WinPortrait\wpctrl.exe"

O4 - HKLM\..\Run: [iTunesHelper] C:\Program\iTunes\iTunesHelper.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [XTNDConnect PC - ErPhn2] C:\Program\DELADE~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\Program\SYMNET~1\SNDMon.exe

O4 - HKLM\..\Run: [WCOLOREAL] C:\Program\Coloreal\coloreal.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program\Delade filer\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [storageGuard] "C:\Program\VERITAS Software\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [MessengerPlus2] "C:\Program\Messenger Plus! 2\MsgPlus.exe"

O4 - HKLM\..\Run: [KYE_Showicon] "C:\Program\USB Storage RW\shwicon.exe" -t"KYE\USB Storage RW"

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [internet book grey memo] C:\Documents and Settings\All Users\Application Data\drawaudiointernetbook\Anteclose.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program\Java\jre1.5.0_02\bin\jusched.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [Yahoo! Pager] C:\Program\Yahoo!\MESSEN~1\ypager.exe -quiet

O4 - Global Startup: Acrobat Assistant.lnk = C:\Program\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

O4 - Global Startup: BTTray.lnk = ?

O4 - Global Startup: Certificate Mover.lnk = C:\Program\SmartTrust\SmartTrust Personal\Csp\SmartCertmover.exe

O4 - Global Startup: hp psc 2000 Series.lnk = C:\Program\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe

O4 - Global Startup: hpoddt01.exe.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Program\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Pinnacle Scheduler.lnk = ?

O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZCxdm338YYSE

O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\Program\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program\Belkin\Bluetooth Software\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program\Belkin\Bluetooth Software\btsendto_ie.htm

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program\Yahoo!\MESSEN~1\YPager.exe

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program\Yahoo!\MESSEN~1\YPager.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei-2/CursorManiaFWBInitialSetup1.0.0.8-2.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab

O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://akamaidownload.apple.com/530x3824/binaries/iTunesSetup.exe

O16 - DPF: {83873F92-B99B-400A-9E36-52B5F4970FB7} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/sv/filesharingctrl.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab

O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program\Belkin\Bluetooth Software\bin\btwdins.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Program\Delade filer\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - c:\Program\Delade filer\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Program\Norton Internet Security\ccPxySvc.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe

O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSEC.EXE

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program\iPod\bin\iPodService.exe

O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - c:\Program\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Program\Norton Internet Security\NISUM.EXE

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: SmartTrust Smart Card Server (Smartscaps) - SmartTrust - C:\WINDOWS\system32\Smartscaps.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\SNDSrvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\Security Center\SymWSC.exe

 

[/log]

 

Finns det något där som inte ska finnas, och vad ska vi i så fall göra åt det?

 

[inlägget ändrat 2005-03-26 12:25:51 av Älin]

[inlägget ändrat 2005-03-26 12:27:57 av Älin]

Link to comment
Share on other sites

Prova att ladda ner programmet Spybot Search & Destroy,det gör

du härifrån:http://www.safer-networking.org Uppdatera Spybot

innan du kör det,sen du har kört Spybot klicka på Immunize

för att inte få in mer spyware i datorn.

 

 

 

 

[inlägget ändrat 2005-03-26 13:05:27 av Brynäsarn]

Link to comment
Share on other sites

Innan du börjar att ta bort så skapar du en ny mapp i t ex Mina dokument som du döper till HijackThis. Där lägger du HijackThis.exe. Du gör så för att få backupfiler på ett ställe där du lätt kan hitta dem.

 

För att ta bort bockar du för respektive rad och klickar sedan på Fix checked.

 

 

Följande rad ska definitivt bort:

 

O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZCxdm338YYSE

 

 

Den här raden är lite svårare att avgöra om den går att ta bort:

 

O4 - HKLM\..\Run: [internet book grey memo] C:\Documents and Settings\All Users\Application Data\drawaudiointernetbook\Anteclose.exe

 

 

Det finns i alla fall inget känt program som heter Anteclose.exe så jag rekommenderar att ta bort den raden. Sök också efter filen och radera den. Det går förmodligen inte att radera den förrän datorn startats om. Om det mot förmodan är ett program som ska finnas på datorn så går det alltid att återskapa från HijackThis-backup.

 

Jag har gått igenom det mesta som autostartar och inte hittat något mer. Det är lätt att missa så du bör avvakta råd från andra som kanske hittar något mer att ta bort.

 

 

 

Link to comment
Share on other sites

Okej jag ska prova det så fort som pappa kan komma och kolla.. (tar nog ett bra tag, han har just nu influensa

;))

[inlägget ändrat 2005-03-26 18:28:33 av Älin]

Link to comment
Share on other sites

Skapa en ny mapp på C:\ och placera HijackThis.exe dit så C:\HjT\HijackThis.exe

 

Scanna med Hijack bocka i följande rader stäng Web-läsaren och alla andra öppna fönster och klicka FIX checked

 

 

[log]O2 - BHO: (no name) - {3903F0AD-6123-C14B-2512-8935C0FC8CEA} - C:\DOCUME~1\Karin\APPLIC~1\INSIDE~1\free curb.exe

O4 - HKLM\..\Run: [internet book grey memo] C:\Documents and Settings\All Users\Application Data\drawaudiointernetbook\Anteclose.exe

O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZCxdm338YYSE

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei-2/CursorMa

niaFWBInitialSetup1.0.0.8-2.cab

O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://akamaidownload.apple.com/530x3824/binaries/iTunesSetup.exe

 

 

Starta sen i felsäkert läge och ta bort

 

C:\DOCUME~1\Karin\APPLIC~1\INSIDE~1\free curb.exe

- ta bort INSIDE~1 mappen

 

C:\Documents and Settings\All Users\Application Data\drawaudiointernetbook\Anteclose.exe

- ta bort drawaudiointernetbook mappen

 

Starta sen normalt och ny Hijack logg.[/log]

 

 

 

Link to comment
Share on other sites

Jag håller med om:

 

O2 - BHO: (no name) - {3903F0AD-6123-C14B-2512-8935C0FC8CEA} - C:\DOCUME~1\Karin\APPLIC~1\INSIDE~1\free curb.exe

 

Däremot är följande rader inte nödvändiga att ta bort men man kan göra det utan problem:

 

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei-2/CursorMa

niaFWBInitialSetup1.0.0.8-2.cab

 

(finns inget skumt i cab-filen, har kollat med Kaspersky och Ewido...men OK, det är onödigt att ha den raden)

 

O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://akamaidownload.apple.com/530x3824/binaries/iTunesSetup.exe

 

(iTunes är väl en mjukvara från Apple!?)

 

 

 

[inlägget ändrat 2005-03-26 18:54:15 av znej]

Link to comment
Share on other sites

trodde jag tagit bort hela Cursor Mania, men tydligen så finns det alltså kvar och stör :s

 

jo, i-tunes är en mjukvara från apple, och jag har verkligen ingen aning om hur den kommit in på vår dator .. det kan kanske höra ihop med en konstig fil på skrivbordet som är reklam för i-pod..? (jag är inte så bra på filer och sånt..) glömde nog att säga att vi har reklam på skrivbordet också.. förut var det reklam för casino online etc men nu är det istället reklam för i-pod ("i-pod offer") och "cellphone ringtones".

[inlägget ändrat 2005-03-26 19:17:08 av Älin]

Link to comment
Share on other sites

Då är det konstigt att ett bra antivirusprogram som Kaspersky inte hittar något i den här filen:

 

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei-2/CursorMa

niaFWBInitialSetup1.0.0.8-2.cab

 

Inte heller säkerhetsprogrammet Ewido hittade något i filen.

 

Men det kanske inte räknas som virus eller spyware. Man kanske får lita till andra produkter i just det här fallet. Eller så kan man inte se att det är spyware bara genom att kontrollera filen.

 

Så visst, gå på den rekommendation som "Zipp" ger och ta bort allt som är uppskrivet i det inlägget.

 

Link to comment
Share on other sites

Jag packade upp cab-filen och skannade sedan med Ewido säkerhetsprogram och då hittades "Trojan Dropper Funweb.a". Däremot hittade inte Kaspersky något och det är konstigt.

 

Det här visar att man måste använda flera olika produkter för att kolla säkerhetshot i form av t ex spyware och trojaner.

 

Det är också ett gott betyg för Ewido som verkar riktigt bra. Jag har tidigare rekommenderat programmet men inte vetat om det är något att ha.

 

Kan hämtas här:

 

http://www.ewido.net/en/download

 

Man har först fullversion och efter 14 dagar en begränsad version som går att uppdatera.

 

 

EDIT: som sagt, ta bort det som "Zipp" rekommenderat. Jag hade ingen riktigt lycka med min hjälp eftersom jag missade så mycket. Det är alltid bra när flera kollar.

[inlägget ändrat 2005-03-26 19:26:47 av znej]

[bild bifogad 2005-03-26 19:33:41 av znej]

694118_thumb.jpg

Link to comment
Share on other sites

okej det ska jag göra.

 

nu visade det sig förresten att pappa laddat ned i-tunes så det är i alla fall okej:thumbsup:

 

när pappa har kollat (typ om en vecka..) så skickar jag en ny log..

 

tack allihop, ni är verkligen jättesnälla!! :)

[inlägget ändrat 2005-03-29 10:33:30 av Älin]

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...