Samma trojaner som kommer tillbaka

[Diggare]

Hejsan.

Jag har ett problem som inte ens en ominstallation av hela windows hjälper.

 

Det är nämligen så att jag har av nån anledning blivit drabbad av nån sårts mycket retande trojaner som kommer tillbaks om å om igen fasst jag får bort dom alla genom att använda massor me anti-spion program och virusprogram (i felsäkert läge dock enbart för att få bort dom), men sen kommer det tillbaka igen med jämna tidsmellanrum och inte bara de. Dessa trojaner segar ner datorn så att den känns minst 4 gånger segare (när det gäller användandet av program mm) och att surfningen via internet explorer eller firefox är ett mycket stort problem då många gånger när man trycker på en länk så fastnar eller fryser sig rutan oftast. Ibland även startmenyn , den här datorn å verktygsfältet med.

 

Dom program som jag har använt och har än är:

 

Spywareblaster, Xoftspy, Spybot, Ad-ware 6.0, Spyware Doctor, Anti-Hacker, Trojanhunter, PC-Chillin 2002, Cwshredder, Killbox...ja, ja vet int hur mycke de är men inget kan hindra dessa trojaner att nå min dator. Visst jag kan ta bort ALLT som sagt i felsäkert läge då inga av dessa processer ej startar, men de loopar ju om igen för de i vanligt läge sen ;_; ?!? Och en ominstallation av windows hjälpte ej heller, hjälp!

 

Som ja hinner se va virusprogrammet visar va trojanerna heter är:

 

TROJ_small.ZF

TROJ_dloader.DG

 

det fanns ett tredje med men det loopar inte om igen iaf.

 

Å sen kommer det upp 2 ständiga ikoner på skrivbordet som kallas för virus hunter security och spyware avenger. En till är en skrivskyddad dold mapp i \windows som heter isrvs med ikoner som dessa:

 

delpot.sys

desktop.exe (Desktop Search som det heter å startar upp jämt när man startar datorn)

edmond.exe

ffisearch.exe

isearch.xpi

mfiltis.dll

msdbhk.dll

 

Det är nå mer å som sparas nånstans i windows mappen men de kommer jag inte ihåg tyvärr

Det har varit svårt å tagit reda på information om dessa trojaner. Tydligen är det ganska okänt.

 

Det vore ju så undebart om någon utav er kunde försöka hjälpa mig på något sätt =]. (Hoppas bara inte den här rutan fryser sig när jag trycker på skapa inlägget ikonen) Inte ens Ctrl + C funkar just nu =[

 

/Daxxe

 

[bild bifogad 2005-04-08 00:06:20 av Daxxe]

[Anjuna Moon]

Ladda ner HijackThis och posta loggen du får ut ur det

(klistra in loggen i inläggsfönstret, markera hela textstycket och klicka på [ LOG ]-knappen)

 

http://www.spywareinfo.com/~merijn/downloads.html

 

[Diggare]

[log]Logfile of HijackThis v1.99.1

Scan saved at 00:08:23, on 2005-04-08

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE

C:\Program\Delade filer\Microsoft Shared\VS7Debug\mdm.exe

C:\Program\Analog Devices\SoundMAX\SMAgent.exe

E:\Program\Trend Micro\PC-cillin 2002\Tmntsrv.exe

E:\Program\Trend Micro\PC-cillin 2002\PCCPFW.exe

E:\Program\Stardock\Object Desktop\WindowBlinds\wbload.exe

C:\WINDOWS\System32\dllhost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\msoffice.exe

C:\Program\ATI Technologies\ATI Control Panel\atiptaxx.exe

E:\Program\Trend Micro\PC-cillin 2002\pccguide.exe

E:\Program\Trend Micro\PC-cillin 2002\PCCClient.exe

E:\Program\Trend Micro\PC-cillin 2002\Pop3trap.exe

E:\Program\Winamp 5\winampa.exe

E:\Program\D-Tools\daemon.exe

C:\Program\iTunes\iTunesHelper.exe

C:\Program\Delade filer\Real\Update_OB\realsched.exe

C:\WINDOWS\System32\qttask.exe

C:\Program\Java\jre1.5.0_02\bin\jusched.exe

C:\Program\iPod\bin\iPodService.exe

C:\WINDOWS\System32\ctfmon.exe

E:\Program\AIM\aim.exe

E:\Program\Spyware Doctor\spydoctor.exe

E:\Program\WinZip\WZQKPICK.EXE

E:\Program\GetRight\getright.exe

E:\Program\GetRight\getright.exe

E:\Program\Winamp 5\winamp.exe

E:\Program\DC++\DCPlusPlus.exe

C:\WINDOWS\System32\notepad.exe

C:\Program\Mozilla Firefox\firefox.exe

C:\Program\Internet Explorer\iexplore.exe

C:\WINDOWS\System32\svchost.exe

E:\Program\Adobe\Photoshop 7.0\Photoshop.exe

C:\Documents and Settings\Daxxe The One\Skrivbord\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

F3 - REG:win.ini: run=C:\WINDOWS\System32\msoffice.exe

O2 - BHO: CeresObj Class - {00000049-8F91-4D9C-9573-F016E7626484} - C:\WINDOWS\ceres.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: Loader Class - {2E246FAE-8420-11D9-870D-000C2917DE7F} - C:\WINDOWS\SYSTEM\Loader.dll (file missing)

O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - E:\Program\GetRight\xx2gr.dll

O3 - Toolbar: AIM Search - {40D41A8B-D79B-43d7-99A7-9EE0F344C385} - C:\Program\AIM Toolbar\AIMBar.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [ATIPTA] C:\Program\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [soundMAX] "C:\Program\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [pccguide.exe] "E:\Program\Trend Micro\PC-cillin 2002\pccguide.exe"

O4 - HKLM\..\Run: [PCCClient.exe] "E:\Program\Trend Micro\PC-cillin 2002\PCCClient.exe"

O4 - HKLM\..\Run: [Pop3trap.exe] "E:\Program\Trend Micro\PC-cillin 2002\Pop3trap.exe"

O4 - HKLM\..\Run: [WinampAgent] E:\Program\Winamp 5\winampa.exe

O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\Program\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [iTunesHelper] C:\Program\iTunes\iTunesHelper.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program\Delade filer\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\System32\qttask.exe" -atboottime

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program\Java\jre1.5.0_02\bin\jusched.exe

O4 - HKLM\..\Run: [WebRun] C:\WINDOWS\System32\wmplayer.exe

O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe

O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [AIM] E:\Program\AIM\aim.exe -cnetwait.odl

O4 - HKCU\..\Run: [WebRun] C:\WINDOWS\System32\wmplayer.exe

O4 - HKCU\..\RunOnce: [MPlayer2_FixUp] C:\WINDOWS\inf\unregmp2.exe /Fixups

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program\Delade filer\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: WinZip Quick Pick.lnk = E:\Program\WinZip\WZQKPICK.EXE

O4 - Global Startup: Microsoft Office.lnk = E:\Program\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: GetRight - Tray Icon.lnk = E:\Program\GetRight\getright.exe

O8 - Extra context menu item: &AIM Search - res://C:\Program\AIM Toolbar\AIMBar.dll/aimsearch.htm

O8 - Extra context menu item: Download with GetRight - E:\Program\GetRight\GRdownload.htm

O8 - Extra context menu item: E&xportera till Microsoft Excel - res://E:\Program\MICROS~1\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Open with GetRight Browser - E:\Program\GetRight\GRbrowse.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - E:\Program\AIM\aim.exe

O9 - Extra button: WebWarper BIM - {B4C419BC-12EF-49DA-8D1D-72B339B99AED} - C:\Program\WEBWAR~1\WWBIM.EXE

O9 - Extra 'Tools' menuitem: WebWarper BIM Options - {B4C419BC-12EF-49DA-8D1D-72B339B99AED} - C:\Program\WEBWAR~1\WWBIM.EXE

O9 - Extra button: WeatherBug - {AF6CABAB-61F9-4f12-A198-B7D41EF1CB52} - C:\Program\AWS\WeatherBug\Weather.exe (file missing) (HKCU)

O12 - Plugin for .spop: C:\Program\Internet Explorer\Plugins\NPDocBox.dll

O15 - Trusted Zone: *.addictivetechnologies.com

O15 - Trusted Zone: *.addictivetechnologies.net

O15 - Trusted Zone: *.admin2cash.biz

O15 - Trusted Zone: *.awmdabest.com

O15 - Trusted Zone: *.bettersearch.biz

O15 - Trusted Zone: *.c4tdownload.com

O15 - Trusted Zone: *.clickspring.net

O15 - Trusted Zone: *.crazywinnings.com

O15 - Trusted Zone: *.f1organizer.com

O15 - Trusted Zone: *.finefind.nettraffic2cash.biz

O15 - Trusted Zone: *.iframe.biz

O15 - Trusted Zone: *.megapornix.com

O15 - Trusted Zone: *.mt-download.com

O15 - Trusted Zone: *.newiframe.biz

O15 - Trusted Zone: *.overpro.com

O15 - Trusted Zone: *.pizdato.biz

O15 - Trusted Zone: *.private-dialer.biz

O15 - Trusted Zone: *.private-iframe.biz

O15 - Trusted Zone: *.slotch.com

O15 - Trusted Zone: *.sp2admin.biz

O15 - Trusted Zone: *.sp2fucked.biz

O15 - Trusted Zone: *.topconverting.com

O15 - Trusted Zone: *.traffic2cash.biz

O15 - Trusted Zone: *.vse-moe.biz

O15 - Trusted Zone: *.windupdates.com

O15 - Trusted Zone: *.xxxtoolbar.com

O15 - Trusted Zone: *.ysbweb.com

O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone

O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone (HKLM)

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/08fc35c612ee0fa23a19/netzip/RdxIE601.cab

O16 - DPF: {5BC1A866-4E4F-02BA-9394-49570F05BC96} - http://67.19.178.86/1/rdgFR1742.exe

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - C:\WINDOWS\isrvs\mfiltis.dll

O20 - Winlogon Notify: WB - E:\Program\Stardock\OBJECT~1\WINDOW~1\fastload.dll

O23 - Service: Adobe LM Service - Unknown owner - C:\Program\Delade filer\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE

O23 - Service: iPod-tjänst (iPodService) - Apple Computer, Inc. - C:\Program\iPod\bin\iPodService.exe

O23 - Service: PC-cillin PersonalFirewall (PCCPFW) - Trend Micro Inc. - E:\Program\Trend Micro\PC-cillin 2002\PCCPFW.exe

O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)

O23 - Service: Q32tifwshn - Sonic Solutions - (no file)

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Inc. - E:\Program\Trend Micro\PC-cillin 2002\Tmntsrv.exe

 

[/log]

 

[Brynäsarn]

 

Xoftspy kan du ta bort,den gör ingen större nytta:läs mer här.

http://www.spywarewarrior.com/rogue_anti-spyware.htm

 

 

 

 

 

[Diggare]

Märkligt att de inte betraktar som ett riktigt anti-spyware program, för de var ju de som nämligen tog bort de värsta å isrvs mappen i felsäkert läge. Men om du nu säger de så, ok =]

 

[Brynäsarn]

Gör en online scan här: http://se.trendmicro-europe.com

 

 

 

 

[inlägget ändrat 2005-04-08 01:03:14 av Brynäsarn]

[Anjuna Moon]

Du har mycket skumma saker på din burk, så jag har säkert missat något, men börja med att markera följande rader i HijackThis och välj sedan Fix:

 

O2 - BHO: CeresObj Class - {00000049-8F91-4D9C-9573-F016E7626484} - C:\WINDOWS\ceres.dll
O2 - BHO: Loader Class - {2E246FAE-8420-11D9-870D-000C2917DE7F} - C:\WINDOWS\SYSTEM\Loader.dll (file missing)
O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe
O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe
O4 - HKCU\..\RunOnce: [MPlayer2_FixUp] C:\WINDOWS\inf\unregmp2.exe /Fixups
O9 - Extra button: WeatherBug - {AF6CABAB-61F9-4f12-A198-B7D41EF1CB52} - C:\Program\AWS\WeatherBug\Weather.exe (file missing) (HKCU)
O16 - DPF: {5BC1A866-4E4F-02BA-9394-49570F05BC96} - http://67.19.178.86/1/rdgFR1742.exe
O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - C:\WINDOWS\isrvs\mfiltis.dll

 

Följande är jag inte säker på vad det är, något du själv vet med dig att du installerat?

O20 - Winlogon Notify: WB - E:\Program\Stardock\OBJECT~1\WINDOW~1\fastload.dll

 

Får du inte bort Unregmp2.exe så försök med följande verktyg:

http://www.scanspyware.net/info/Unregmp2.exe.htm

 

Listan på alla Trusted Zones (O15) bör du gå igenom så att det är sajter du själv lagt till. Annars rensar du bort dem också.

 

[Anjuna Moon]

för de var ju de som nämligen tog bort de värsta å isrvs mappen i felsäkert läge

Men som du ser i din logg så togs dessa inte alls bort....

 

[Diggare]

men som ja skrev i första meddelandet så kommer det ju tillbaks igen när jag befinner mig i normalt läge, ca 1 gång / halvtimmen.

Det loopa ganska nyss om igen och nu var det ytterliggare nåt med trojanerna som hette WORM_WOOTBOT.GEN. Bara de inte förvärrar ännu mer nu då. Finns de inget sätt {=X ?

 

[Anjuna Moon]

Har du rensat posterna i HijackThis ännu, som jag listade?

 

[Diggare]

skulle de hända nå speciellt om man tar fel på några rader me hijackthis?

De där me stardock är inge fara för de har med xp-muspekare att göra. Ja gör det nu

 

[Anjuna Moon]

Ta även bort den här raden, ser ut som en trojan:

 

F3 - REG:win.ini: run=C:\WINDOWS\System32\msoffice.exe

 

[Anjuna Moon]

skulle de hända nå speciellt om man tar fel på några rader me hijackthis?

Javisst kan det bli så. Du kan alltid dubbelkolla innan du rensar om du vill. Det bästa är att använda CLSID om det finns och slå upp det på CastleCops eller på http://www.spywaredata.com/spyware/bho.php?current_page=350

 

I andra hand använder du filnamnet och söker ex. på Google.

 

[Diggare]

ok ska göra de.

 

efter en ny sökning igen så har jag gått igenom allt vilket som har förvunnit å vilket som e kvar. De som e kvar var som jag trodde:

 

O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe

O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe

O4 - HKCU\..\RunOnce: [MPlayer2_FixUp]

 

Resten gick bort. Ja ska även pröva verkyget nu som du skicka å =]

 

[Anjuna Moon]

Mm, den verkar jobbig den där trojanen. Förmodligen ligger det någon autostart kvar som maskerat sig som ett legitimt program. Hoppas länken hjälper

 

[Anjuna Moon]

Här fanns en lite mer detaljerad information om hur du tar bort det:

http://www.greatis.com/appdata/d/f/ffisearch.exe_Removal.htm

 

[Cecilia]

En del otrevligheter utnyttjar systemåterställningsfunktionen för att komma tillbaks, så det är lämpligt att stänga av den.

Den här datorn - Egenskaper - Systemåterställning

Sedan när datorn är ren så ska funktionen sättas på igen.

 

Håll internetanslutningen urdragen så mycket som möjligt under rensningen.

Använd inga fildelningsprogram som DC++ under rensningen.

 

Försök installera en brandvägg, så att otrevligheterna inte kan komma ut på nätet och ladda ner nya eller avslöja lösenord etc för andra. Finns gratis t ex Outpost, Kerio, Sygate.

 

Ad-aware 6 supportas inte sen i höstas, avinstallera och installera den nya versionen SE 1.05:

http://www.lavasoft.de/support/download/

 

Kontrollera att du inte har några okända program i Kontrollpanelen - Lägg till och ta bort program, ta bort dem i så fall.

 

Flytta HijackThis.exe + den Backup-mapp som den har skapat på Skrivbordet till en egen mapp så att du inte råkar radera backup-filerna.

 

Brukar vara nödvändigt att göra allt i ett svep och avmarkera alla rader som hör ihop med skiten och sedan få bort allt i felsäkert läge, annars så kommer det som är kvar att återskapa det övriga.

 

Ladda ner:

http://www.mvps.org/winhelp2002/DelDomains.inf

och kör genom att högerklicka på den och välja Install. Datorn behöver inte startas om. Alla de där otrevliga platserna i Trusted Zone (Tillförlitliga) ska då tas bort. Om du har platser inlagda i Ej tillförlitliga zonen som kommer de också att tas bort och behöver läggas in igen.

 

[log]Utgående från den HijackThis-logg du la ut här förut så får jag fram att dessa rader ska bockas för:

 

F3 - REG:win.ini: run=C:\WINDOWS\System32\msoffice.exe

O2 - BHO: CeresObj Class - {00000049-8F91-4D9C-9573-F016E7626484} - C:\WINDOWS\ceres.dll

O2 - BHO: Loader Class - {2E246FAE-8420-11D9-870D-000C2917DE7F} - C:\WINDOWS\SYSTEM\Loader.dll (file missing)

O4 - HKLM\..\Run: [WebRun] C:\WINDOWS\System32\wmplayer.exe

O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe

O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe

O4 - HKCU\..\Run: [WebRun] C:\WINDOWS\System32\wmplayer.exe

O9 - Extra button: WebWarper BIM - {B4C419BC-12EF-49DA-8D1D-72B339B99AED} - C:\Program\WEBWAR~1\WWBIM.EXE

O9 - Extra 'Tools' menuitem: WebWarper BIM Options - {B4C419BC-12EF-49DA-8D1D-72B339B99AED} - C:\Program\WEBWAR~1\WWBIM.EXE

O9 - Extra button: WeatherBug - {AF6CABAB-61F9-4f12-A198-B7D41EF1CB52} - C:\Program\AWS\WeatherBug\Weather.exe (file missing) (HKCU)

O15 - Trusted Zone: *.addictivetechnologies.com

O15 - Trusted Zone: *.addictivetechnologies.net

O15 - Trusted Zone: *.admin2cash.biz

O15 - Trusted Zone: *.awmdabest.com

O15 - Trusted Zone: *.bettersearch.biz

O15 - Trusted Zone: *.c4tdownload.com

O15 - Trusted Zone: *.clickspring.net

O15 - Trusted Zone: *.crazywinnings.com

O15 - Trusted Zone: *.f1organizer.com

O15 - Trusted Zone: *.finefind.nettraffic2cash.biz

O15 - Trusted Zone: *.iframe.biz

O15 - Trusted Zone: *.megapornix.com

O15 - Trusted Zone: *.mt-download.com

O15 - Trusted Zone: *.newiframe.biz

O15 - Trusted Zone: *.overpro.com

O15 - Trusted Zone: *.pizdato.biz

O15 - Trusted Zone: *.private-dialer.biz

O15 - Trusted Zone: *.private-iframe.biz

O15 - Trusted Zone: *.slotch.com

O15 - Trusted Zone: *.sp2admin.biz

O15 - Trusted Zone: *.sp2fucked.biz

O15 - Trusted Zone: *.topconverting.com

O15 - Trusted Zone: *.traffic2cash.biz

O15 - Trusted Zone: *.vse-moe.biz

O15 - Trusted Zone: *.windupdates.com

O15 - Trusted Zone: *.xxxtoolbar.com

O15 - Trusted Zone: *.ysbweb.com

O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone

O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone (HKLM)

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/08fc35c612ee0fa23a19/netzip/RdxIE601.

cab

O16 - DPF: {5BC1A866-4E4F-02BA-9394-49570F05BC96} - http://67.19.178.86/1/rdgFR1742.exe

O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - C:\WINDOWS\isrvs\mfiltis.dll

O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)

O23 - Service: Q32tifwshn - Sonic Solutions - (no file)

 

Avsluta alla program och fönster (viktigt) förutom HijackThis.

 

Tryck på Fix checked.

 

Starta om i felsäkert läge (F8 upprepade gånger under uppstarten).

 

Ställ in Utforskaren så att du kan se alla filer:

Verktyg - (Mapp)alternativ eller liknande - Visning

Välj Visa dolda filer och mappar

Avbocka Dölj filnamnstillägg för kända filtyper

Avbocka Dölj skyddade operativsystemfiler

Bocka för Visa innehållet i systemmappar

 

Ta bort filerna:

C:\WINDOWS\System32\msoffice.exe

C:\WINDOWS\ceres.dll

C:\WINDOWS\SYSTEM\Loader.dll

C:\WINDOWS\System32\wmplayer.exe

C:\WINDOWS\svchost.exe (obs mappen, inte i några andra mappar)

 

Ta bort mappen:

C:\WINDOWS\isrvs

C:\Program\WEBWAR~1

C:\Program\AWS\WeatherBug

 

Skanna med PC-cillin, den nya Ad-aware och Spybot S&D.

 

Starta om datorn i normalt läge och ta ut en ny HijackThis-logg, som du lägger ut här.

 

PS. I framtiden så kan du tänka på att läsa i Trend Micros databas om hur sådant som PC-cillin hittar ska tas bort:

http://www.trendmicro.com/vinfo/virusencyclo/

 

[/log]

[inlägget ändrat 2005-04-08 10:08:00 av Cecilia]

[Brynäsarn]

Brandväggen Outpost kan du ladda ner här:

http://www.agnitum.com/products/outpost/

Klicka på download,välj sedan Outpost Firewall Free,

för att ladda ner gratisversionen.

 

 

 

 

 

 

 

 

[inlägget ändrat 2005-04-08 12:37:03 av Brynäsarn]

[Lars2W2]

Googla på Stardock och spyware. Nog ood. Det är en kul utiliy som saggar maskinen och spionerar på dig. Spyware Doctor är ett falsk antispyware. Det ser man på Brynäsarns länk http://www.spywarewarrior.com/rogue_anti-spyware.htm

 

Mitt råd: Var restriktiv, oerhört restriktiv, med utilities och kul snuttar av alla de slag. Det är min förklaring till att trojanerna kommer tillbaka. Om du nu måste, ta i så fall hem dem från renommerade ställen som Download.com eller Tucows.

 

[Cecilia]

Spyware Doctor är ett falsk antispyware. Det ser man på Brynäsarns länk http://www.spywarewarrior.com/rogue_anti-spyware.htm

Vill bara påpeka att Spyware Doctor förekommer på den webbsidan under rubriken:

Not On the List:

There are a number of lesser-known anti-spyware applications that I have tested but decided were not appropriate to include on the "Rogue/Suspect Anti-Spyware List" above.

Så ingen fara med den.

 

WindowsBlinds Stardock finns beskrivet på den här sidan som helt ok:

http://www.processlibrary.com/directory/files/wbload/index.php

Och loggar med den anses vara rena t ex här:

http://castlecops.com/postp504512.html

http://www.spywarefri.dk/forum/topic.asp?TOPIC_ID=12389

De webbplatserna brukar veta vad som gäller.

 

[Diggare]

Ja ni.

Jag fick bort allt som ni har skrivit upp genom hijackthis + tagit bort filerna i

C:\WINDOWS\System32\msoffice.exe

C:\WINDOWS\ceres.dll

C:\WINDOWS\SYSTEM\Loader.dll

C:\WINDOWS\System32\wmplayer.exe

C:\WINDOWS\svchost.exe

utan nå problem i felsäkert läge.

Sen installerade jag även det nyaste ad-aware med uppdateringar å allt som även tog bort hela 80 objekt tror ja.

 

Inga okända program förutom 180searchassistent var installerat men det fick jag bort med.

Jag ladda även hem deldmain.inf filen och körde de genom spybot men tyvärr så kunde inte dessa 10sr filer tas bort (fasst ja startade om å startade en till sökning innan ja kom till skrivbordet). Dom syns eller ej i hijackthis heller så jag vet inte om dom tillhör trusted zone. (Bild på det ovan).

Pc-chillin kan jag tyvärr inte skanna i felsäkert läge (som de själv säger). Men jag fick bort allt utom dessa 10 okända problemena.

 

I vilket fall, jag laddade hem även brandväggen outpost (tack för länkarna) och direkt när jag startade datorn i normalt läge igen efter installationen så kom det upp 2 rutor direkt med att jag har blivit infekterad av:

 

BKDR_SDBOT.GAA i sytem32\.exe

BKDR_SDBOT.GAA i system32\hwclock.exe

 

så nu vet ja inte om det även kan ha påverkat min nya logfil igen dårrå:

 

[log]Logfile of HijackThis v1.99.1

Scan saved at 15:25:18, on 2005-04-08

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE

C:\WINDOWS\System32\winole.exe

C:\Program\Delade filer\Microsoft Shared\VS7Debug\mdm.exe

E:\Program\Agnitum\OUTPOS~1\outpost.exe

C:\Program\Analog Devices\SoundMAX\SMAgent.exe

E:\Program\Trend Micro\PC-cillin 2002\Tmntsrv.exe

E:\Program\Stardock\Object Desktop\WindowBlinds\wbload.exe

E:\Program\Trend Micro\PC-cillin 2002\PCCPFW.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

E:\Program\Trend Micro\PC-cillin 2002\PCCGUIDE.EXE

C:\Program\Analog Devices\SoundMAX\SMax4PNP.exe

C:\Program\Analog Devices\SoundMAX\Smax4.exe

E:\Program\Trend Micro\PC-cillin 2002\PCCClient.exe

E:\Program\Trend Micro\PC-cillin 2002\Pop3trap.exe

E:\Program\Winamp 5\winampa.exe

E:\Program\D-Tools\daemon.exe

C:\Program\iTunes\iTunesHelper.exe

C:\WINDOWS\System32\qttask.exe

C:\Program\Java\jre1.5.0_02\bin\jusched.exe

C:\WINDOWS\yivjwx.exe

C:\WINDOWS\System32\ctfmon.exe

E:\Program\AIM\aim.exe

C:\Program\iPod\bin\iPodService.exe

E:\Program\GetRight\getright.exe

E:\Program\WinZip\WZQKPICK.EXE

E:\Program\GetRight\getright.exe

C:\Program\Internet Explorer\iexplore.exe

C:\Documents and Settings\Daxxe The One\Skrivbord\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - E:\Program\GetRight\xx2gr.dll

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [soundMAX] "C:\Program\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [pccguide.exe] "E:\Program\Trend Micro\PC-cillin 2002\pccguide.exe"

O4 - HKLM\..\Run: [PCCClient.exe] "E:\Program\Trend Micro\PC-cillin 2002\PCCClient.exe"

O4 - HKLM\..\Run: [Pop3trap.exe] "E:\Program\Trend Micro\PC-cillin 2002\Pop3trap.exe"

O4 - HKLM\..\Run: [WinampAgent] E:\Program\Winamp 5\winampa.exe

O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\Program\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [iTunesHelper] C:\Program\iTunes\iTunesHelper.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\System32\qttask.exe" -atboottime

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program\Java\jre1.5.0_02\bin\jusched.exe

O4 - HKLM\..\Run: [WebRun] C:\WINDOWS\System32\wmplayer.exe

O4 - HKLM\..\Run: [hupUHA] C:\WINDOWS\yivjwx.exe

O4 - HKLM\..\Run: [etbrun] c:\windows\system32\elitehxt32.exe

O4 - HKLM\..\Run: [Outpost Firewall] E:\Program\Agnitum\OUTPOS~1\outpost.exe /waitservice

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [AIM] E:\Program\AIM\aim.exe -cnetwait.odl

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program\Delade filer\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: GetRight - Tray Icon.lnk = E:\Program\GetRight\getright.exe

O4 - Global Startup: WinZip Quick Pick.lnk = E:\Program\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: &AIM Search - res://C:\Program\AIM Toolbar\AIMBar.dll/aimsearch.htm

O8 - Extra context menu item: Download with GetRight - E:\Program\GetRight\GRdownload.htm

O8 - Extra context menu item: E&xportera till Microsoft Excel - res://E:\Program\MICROS~1\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Open with GetRight Browser - E:\Program\GetRight\GRbrowse.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - E:\Program\AIM\aim.exe

O9 - Extra button: WebWarper BIM - {B4C419BC-12EF-49DA-8D1D-72B339B99AED} - C:\Program\WEBWAR~1\WWBIM.EXE

O9 - Extra 'Tools' menuitem: WebWarper BIM Options - {B4C419BC-12EF-49DA-8D1D-72B339B99AED} - C:\Program\WEBWAR~1\WWBIM.EXE

O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - E:\Program\Agnitum\OUTPOS~1\TRASH.EXE (HKCU)

O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - E:\Program\Agnitum\OUTPOS~1\TRASH.EXE (HKCU)

O12 - Plugin for .spop: C:\Program\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/08fc35c612ee0fa23a19/netzip/RdxIE601.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O20 - Winlogon Notify: WB - E:\Program\Stardock\OBJECT~1\WINDOW~1\fastload.dll

O23 - Service: Adobe LM Service - Unknown owner - C:\Program\Delade filer\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE

O23 - Service: DirectX DLL Register Support Service (DirectX DLL) - Unknown owner - C:\WINDOWS\System32\winole.exe

O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe

O23 - Service: iPod-tjänst (iPodService) - Apple Computer, Inc. - C:\Program\iPod\bin\iPodService.exe

O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - E:\Program\Agnitum\OUTPOS~1\outpost.exe

O23 - Service: PC-cillin PersonalFirewall (PCCPFW) - Trend Micro Inc. - E:\Program\Trend Micro\PC-cillin 2002\PCCPFW.exe

O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)

O23 - Service: Q32tifwshn - Sonic Solutions - (no file)

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Inc. - E:\Program\Trend Micro\PC-cillin 2002\Tmntsrv.exe[/log]

 

Å sen kunde jag inte surfa nånstans med brandväggen outpost aktiverad för den blockerade hela tiden när jag försökte ansluta till en server:

Jag vet inte så här ser den loggen ut (förkortat):

 

 

[log]15:25:13 NETBIOS OUT REFUSED UDP 83.226.204.127 NETBIOS_DGM Block NetBIOS Traffic

15:25:12 NETBIOS OUT REFUSED UDP 83.226.204.127 NETBIOS_NS Block NetBIOS Traffic

15:24:59 svchost.exe IN REFUSED TCP 83.226.241.25 3082 Block Remote Procedure Call (TCP)

15:24:47 NETBIOS OUT REFUSED UDP 83.226.204.127 NETBIOS_NS Block NetBIOS Traffic

15:24:28 NETBIOS OUT REFUSED UDP 83.226.204.127 NETBIOS_NS Block NetBIOS Traffic

15:24:11 NETBIOS OUT REFUSED UDP 83.226.204.127 NETBIOS_NS Block NetBIOS Traffic

15:23:57 NETBIOS OUT REFUSED UDP 83.226.204.127 NETBIOS_NS Block NetBIOS Traffic

15:23:39 NETBIOS OUT REFUSED UDP 83.226.204.127 NETBIOS_NS Block NetBIOS Traffic

15:23:20 NETBIOS IN REFUSED TCP 83.226.23.124 3186 Block NetBIOS Traffic

15:23:14 NETBIOS OUT REFUSED UDP 83.226.204.127 NETBIOS_NS Block NetBIOS Traffic

15:23:12 NETBIOS OUT REFUSED UDP 83.226.204.127 NETBIOS_DGM Block NetBIOS Traffic

15:23:02 NETBIOS IN REFUSED TCP 83.226.35.148 3915 Block NetBIOS Traffic

15:22:48 NETBIOS OUT REFUSED UDP 83.226.204.127 NETBIOS_NS Block NetBIOS Traffic

15:22:41 svchost.exe IN REFUSED TCP 83.226.23.219 1394 Block Remote Procedure Call (TCP)

15:11:29 svchost.exe OUT REFUSED UDP localhost 3006 Blocked by Component Control

15:11:29 svchost.exe OUT REFUSED UDP localhost 3005 Blocked by Component Control

15:11:20 svchost.exe OUT REFUSED UDP 239.255.255.250 1900 Blocked by Component Control[/log]

 

så jag vågade inte avaktivera brandväggen å sitter nu i felsäkert när jag skriver detta. Som datorn fungerar än i normalt läge är extremt segt. (går jättesnabbt (normalt) i felsäkert läge dock). Den liksom småtänker å utför saker när den själv vill känns det som ibland. Exempel: Att öppna en liten bmpbild tar c:a 7 sek.

Hoppas ni fick med allt.

 

[bild bifogad 2005-04-08 16:08:48 av Daxxe]

[Diggare]

jag kan påpeka att jag har haft stardock sen långt tillbaks och att det inte är något som har segat datorn alls förr. (Som stylexp)

Samma sak gäller det spyware doctor att jag har haft de sen..ja typ oktober utan nå problem fasst jag vet inte...den tar oftast bara bort onödiga filer som cookies å hkeys. Så visst, de känns ganska onödigt, men jag har de avinstallerat nu.

Varför jag skrev upp spywaredoctor var meningen om vilka alla sorters spywareprogram som jag prövat (igen) för att få bort denna repeterande trojanattack.

 

[Cecilia]

Nu har jag inte kört just Outpost men brandväggar brukar behöva konfigureras lite för att de ska tillåta nödvändig trafik.

 

Någon som med Outpost-erfarenhet som kan hjälpa till?

 

Det är nog bättre att du kör i normalt läge utan Outpost än uppkopplad mot internet i felsäkert läge då det är mycket skydd som kanske inte funkar.

 

Ha internet-anslutningen urdragen så mycket som möjligt.

 

Din logg ser mycket bättre ut i alla fall, i konstiga domäner där längre t ex.

 

Varför är inte New.Net förbockad i Spybot-bilden. Det är absolut något som ska bort.

 

Hämta borttagningsverktyget för EliteToolbar:

http://www.simplytech.it/ETRemover/

Läs mycket noga om hur det ska användas (rubriken: Look carefully at what you have to do). Använd det enligt anvisningarna.

 

Flytta HijackThis.exe + den Backup-mapp som den har skapat på Skrivbordet till en egen mapp så att du inte råkar radera backup-filerna.

 

[log]Kör HijackThis och skanna. Bocka för dessa rader (om de fortfarnade finns kvar):

 

O4 - HKLM\..\Run: [WebRun] C:\WINDOWS\System32\wmplayer.exe

O4 - HKLM\..\Run: [hupUHA] C:\WINDOWS\yivjwx.exe

O4 - HKLM\..\Run: [etbrun] c:\windows\system32\elitehxt32.exe

O9 - Extra button: WebWarper BIM - {B4C419BC-12EF-49DA-8D1D-72B339B99AED} - C:\Program\WEBWAR~1\WWBIM.EXE

O9 - Extra 'Tools' menuitem: WebWarper BIM Options - {B4C419BC-12EF-49DA-8D1D-72B339B99AED} - C:\Program\WEBWAR~1\WWBIM.EXE

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/08fc35c612ee0fa23a19/netzip/RdxIE601.

cab

O23 - Service: DirectX DLL Register Support Service (DirectX DLL) - Unknown owner - C:\WINDOWS\System32\winole.exe

O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe

O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)

O23 - Service: Q32tifwshn - Sonic Solutions - (no file)

 

Avsluta alla program och fönster förutom HijackThis.

 

Tryck på Fix checked.

 

Starta om i felsäkert läge (F8 upprepade gånger under uppstarten) utan nätverk.

 

Ställ in Utforskaren så att du kan se alla filer:

Verktyg - (Mapp)alternativ eller liknande - Visning

Välj Visa dolda filer och mappar

Avbocka Dölj filnamnstillägg för kända filtyper

Avbocka Dölj skyddade operativsystemfiler

Bocka för Visa innehållet i systemmappar

 

Ta bort filerna:

C:\WINDOWS\System32\wmplayer.exe

C:\WINDOWS\yivjwx.exe

c:\windows\system32\elitehxt32.exe

C:\WINDOWS\System32\winole.exe

C:\WINDOWS\System32\hwclock.exe

C:\WINDOWS\svchost.exe (Obs endast i denna mapp)

 

Ta bort mappen:

C:\Program\WEBWAR~1

där ~1 står för ett antal godtyckliga tecken

 

Radera oönskade tjänster så här:

Ta fram Kommandotolken. Skriv in dessa rader:

sc delete DirectX DLL

sc delete hwclock

sc delete PowerManager

sc delete Q32tifwshn

 

Kör Spybot nu och se om det fortfarande finns något kvar, rapportera det i ditt svar i så fall.

 

Starta om datorn i normalt läge och ta ut en ny HijackThis-logg, som du lägger ut här.[/log]

 

[Lars2W2]

Där ficl jag. Men jag tror iaf fortfarande att Diggares grundprob är "Nerladdning Av Kul Grejer" Hur många tror t.ex att alla dessa 3D-smileys man kan ta hem gratis är utan plikt i form av spam/spyware?

 

Det här med Spyware Doctor har iaf jag fortfarande en egen åsikt om. Sorry, C.

 

[Diggare]

Men jag tror iaf fortfarande att Diggares grundprob är "Nerladdning Av Kul Grejer" Hur många tror t.ex att alla dessa 3D-smileys man kan ta hem gratis är utan plikt i form av spam/spyware?

 

Allt började med att ja gick in på nån jäkla trojansk-sida då jag sökte efter texter till Bomfunk MC's "Hypnotic" om du nu räknar det som en "kul grej". Jag är aldrig en sån som trycker på ok å ja på nånting utan det här kom automatiskt.