Default.home

[silas]

Jag håller på och hjälper en kompis som fått ett riktigt

roligt problem.

Han använder adsl modem och måste därför logga in via en

telia sida innan han kan surfa.

 

Nu har han lyckats få något roligt i sin dator,

så han kan inte logga in.

varje gång han försöker har hans startsida ändrats

till default.home.

 

Jag har använt snart alla hjälpmedel jag kunnat hitta

inklusive norton som inte ser något fast andra program

indikerat virus och städat, men likväl är det kvar.

 

Har någon upplevt något liknande ?

 

har till och med försökt röjja upp i registret

efter anvisningar jag fått på symantechs hemsida

där jag läst om liknande virus,

men det bara kommer tillbaka.

 

Skulle vara tacksam för hjälp.

 

Mvh

Silas

 

[Anjuna Moon]

Posta en HijackThis-logg (tanka HijackThis från http://www.spywareinfo.com/~merijn/)

 

[Patrik.S]

Silas: En fråga, du har väl slagit av system restore om du har WinXP eller WinME?

 

[silas]

Hej !

 

Här kommer loggen.

 

 

Logfile of HijackThis v1.99.1

Scan saved at 11:03:29, on 2005-04-14

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program\Delade filer\Symantec Shared\ccSetMgr.exe

C:\Program\Delade filer\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program\Delade filer\Symantec Shared\ccApp.exe

C:\Program\SYMANT~1\VPTray.exe

C:\Program\QuickTime\qttask.exe

C:\Program\SmartFix\smartfix.exe

C:\Program\Sharp\Sharpdesk\SharpTray.exe

C:\Program\Symantec AntiVirus\DefWatch.exe

C:\Program\Symantec\Ghost\ngserver.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\Program\Symantec AntiVirus\Rtvscan.exe

C:\Program\Symantec\Ghost\bin\dbserv.exe

C:\Program\Symantec\Ghost\bin\rteng7.exe

C:\WINDOWS\System32\TASKMGRU.EXE

C:\WINDOWS\System32\MSIMN32.EXE

C:\Program\Internet Explorer\iexplore.exe

C:\Program\Internet Explorer\iexplore.exe

C:\Program\WinRAR\WinRAR.exe

C:\DOCUME~1\Flygel\LOKALA~1\Temp\Rar$EX00.828\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.se/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://login1.telia.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: BHDP Class - {1A1488CB-8028-49ba-AD19-18D13CDC650F} - C:\WINDOWS\bhoass.dll

O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\Program\SPYWAR~1\tools\iesdsg.dll (file missing)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: SToolbar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\WINDOWS\stlbd.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [ccApp] "C:\Program\Delade filer\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [vptray] C:\Program\SYMANT~1\VPTray.exe

O4 - HKLM\..\Run: [NGServer] C:\Program\Symantec\Ghost\ngserver.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [smartFix] "C:\Program\SmartFix\smartfix.exe"

O4 - HKCU\..\Run: [sharpTray] C:\Program\Sharp\Sharpdesk\SharpTray.exe

O4 - HKCU\..\Run: [spyware & Adware Removal] "C:\Program\Spyware & Adware Removal\SAR.exe" NoHint

O4 - HKCU\..\Run: [TASKMGRU] C:\WINDOWS\System32\TASKMGRU.EXE

O4 - HKCU\..\Run: [MSIMN32] C:\WINDOWS\System32\MSIMN32.EXE

O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\Program\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referensinformation - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Program\MICROS~2\OFFICE11\REFIEBAR.DLL

O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\ccSetMgr.exe

O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program\Symantec AntiVirus\DefWatch.exe

O23 - Service: Symantec Ghost Database Service (ngdbserv) - Symantec Corporation - C:\Program\Symantec\Ghost\bin\dbserv.exe

O23 - Service: Symantec Ghost Configuration Server (NGServer) - Symantec Corporation - C:\Program\Symantec\Ghost\ngserver.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program\Symantec AntiVirus\SavRoam.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program\Symantec AntiVirus\Rtvscan.exe

 

 

 

[silas]

Hej !

 

var slår man av system resore ?

 

[Cecilia]

Din kompis borde ha en brandvägg, det ser inte ut som det är någon startad med Norton. Finns gratis t ex Sygate och Kerio.

 

Ha internetanslutningen urdragen så mycket som möjligt tills datorn är ren.

 

Var säker på att du förstår allt nedan innan du fortsätter, fråga annars.

 

För att du inte ska råka återställa datorn till ett läge med dessa och tidigare otrevligheter i så bör du ta bort alla systemåterställningspunkter genom att avaktivera systemåterställningsfunktionen.

Den här datorn - högerklick - Egenskaper - Systemåterställning

Funktionen ska sedan sättas på när datorn är ren.

 

För att HijackThis ska kunna spara säkerhetskopior på det den tar bort måste den körbara filen HijackThis.exe ligga i sin egen mapp. Den kan inte köras innifrån WinRAR. Skapa en ny mapp t ex C:\HjT och lägg den körbara filen HijackThis.exe där (sedan kan du slänga den nedladdade filen hijackthis.zip).

 

[log]Kör HijackThis och skanna. Bocka för dessa rader:

 

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home/

O2 - BHO: BHDP Class - {1A1488CB-8028-49ba-AD19-18D13CDC650F} - C:\WINDOWS\bhoass.dll

O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\Program\SPYWAR~1\tools\iesdsg.dll (file missing)

O3 - Toolbar: SToolbar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\WINDOWS\stlbd.dll

O4 - HKCU\..\Run: [TASKMGRU] C:\WINDOWS\System32\TASKMGRU.EXE

O4 - HKCU\..\Run: [MSIMN32] C:\WINDOWS\System32\MSIMN32.EXE

 

Avsluta alla program och fönster förutom HijackThis.

 

Tryck på Fix checked.

 

Starta om i felsäkert läge (F8 upprepade gånger under uppstarten).

 

Ställ in Utforskaren så att du kan se alla filer:

Verktyg - (Mapp)alternativ eller liknande - Visning

Välj Visa dolda filer och mappar

Avbocka Dölj filnamnstillägg för kända filtyper

Avbocka Dölj skyddade operativsystemfiler

Bocka för Visa innehållet i systemmappar

 

Ta bort filerna:

C:\WINDOWS\bhoass.dll

C:\WINDOWS\stlbd.dll

C:\WINDOWS\System32\TASKMGRU.EXE

C:\WINDOWS\System32\MSIMN32.EXE

 

Starta om datorn i normalt läge och ta ut en ny HijackThis-logg. Loggen ska sedan läggas ut i ditt svar på detta sätt:

Tryck på LOG-knappen i Besvara-fönstret

Klistra in loggen

Tryck igen på LOG-knappen[/log]

 

[silas]

Har kört på ett problem i och med att

jag inte kan ta bort TASKMGRU.exe

och MSIMN32.exe

 

 

 

[silas]

Här är loggen so far

 

[log]

Logfile of HijackThis v1.99.1

Scan saved at 11:57:22, on 2005-04-14

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program\Delade filer\Symantec Shared\ccSetMgr.exe

C:\Program\Delade filer\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program\Delade filer\Symantec Shared\ccApp.exe

C:\Program\SYMANT~1\VPTray.exe

C:\Program\QuickTime\qttask.exe

C:\WINDOWS\System32\TASKMGRU.EXE

C:\Program\SmartFix\smartfix.exe

C:\Program\Sharp\Sharpdesk\SharpTray.exe

C:\WINDOWS\System32\MSIMN32.EXE

C:\WINDOWS\System32\TASKMGRU.EXE

C:\WINDOWS\system32\cisvc.exe

C:\Program\Symantec AntiVirus\DefWatch.exe

C:\Program\Symantec\Ghost\ngserver.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\Program\Symantec AntiVirus\Rtvscan.exe

C:\Program\Symantec\Ghost\bin\dbserv.exe

C:\Program\Symantec\Ghost\bin\rteng7.exe

C:\WINDOWS\System32\wuauclt.exe

C:\HjT\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.se/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://login1.telia.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: BHDP Class - {1A1488CB-8028-49ba-AD19-18D13CDC650F} - C:\WINDOWS\bhoass.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [ccApp] "C:\Program\Delade filer\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [vptray] C:\Program\SYMANT~1\VPTray.exe

O4 - HKLM\..\Run: [NGServer] C:\Program\Symantec\Ghost\ngserver.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [smartFix] "C:\Program\SmartFix\smartfix.exe"

O4 - HKCU\..\Run: [sharpTray] C:\Program\Sharp\Sharpdesk\SharpTray.exe

O4 - HKCU\..\Run: [spyware & Adware Removal] "C:\Program\Spyware & Adware Removal\SAR.exe" NoHint

O4 - HKCU\..\Run: [MSIMN32] C:\WINDOWS\System32\MSIMN32.EXE

O4 - HKCU\..\Run: [TASKMGRU] C:\WINDOWS\System32\TASKMGRU.EXE

O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\Program\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referensinformation - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Program\MICROS~2\OFFICE11\REFIEBAR.DLL

O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\ccSetMgr.exe

O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program\Symantec AntiVirus\DefWatch.exe

O23 - Service: Symantec Ghost Database Service (ngdbserv) - Symantec Corporation - C:\Program\Symantec\Ghost\bin\dbserv.exe

O23 - Service: Symantec Ghost Configuration Server (NGServer) - Symantec Corporation - C:\Program\Symantec\Ghost\ngserver.exe[/log]

 

[Cecilia]

Du är säker på att du var i felsäkert läge när du försökte?

 

[Cecilia]

Går det att komma ut på internet nu?

default.home syns inte i loggen i alla fall.

 

Ställ in Utforskaren så att du kan se alla filer igen. Skanna dessa filer:

C:\WINDOWS\System32\TASKMGRU.EXE

C:\WINDOWS\System32\MSIMN32.EXE

C:\WINDOWS\bhoass.dll

genom att ange dem här:

http://virusscan.jotti.org/

Tala om resultatet här.

 

Vad fick du för felmeddelande när du försökte ta bort filerna?

 

 

[silas]

Jajamensan

 

[silas]

Hej !

 

Det går att surfa alldeles utmärkt nu.

 

Resultatet på scan blev :

 

NOD32 svarade :

probably unknown NewHeur_PE på

C:\WINDOWS\System32\TASKMGRU.EXE

C:\WINDOWS\System32\MSIMN32.EXE

 

Dr Web svarade:

Trojan Startpage.599

på bhoass.dll

 

När jag försökte ta bort filerna fick jag meddelandet:

Åtkomst nekad

kontrollera att disken inte är full eller skrivskyddad

och att filen inte används.

 

[Cecilia]

Filerna ska absolut bort med andra ord.

 

Se till att Utforskaren fortfarande är inställd på att visa alla filer.

 

Starta HijackThis, välj Do a system scan och bocka för :

 

O2 - BHO: BHDP Class - {1A1488CB-8028-49ba-AD19-18D13CDC650F} - C:\WINDOWS\bhoass.dll

O4 - HKCU\..\Run: [MSIMN32] C:\WINDOWS\System32\MSIMN32.EXE

O4 - HKCU\..\Run: [TASKMGRU] C:\WINDOWS\System32\TASKMGRU.EXE

 

Tryck sedan på Config-knappen följt av Misc Tools och sedan Delete a file on reboot.

Leta reda på en av dessa filer

C:\WINDOWS\System32\TASKMGRU.EXE

C:\WINDOWS\System32\MSIMN32.EXE

C:\WINDOWS\bhoass.dll

Tryck på Öppna. Svara No på frågan om datorn ska startas om nu.

Upprepa detta för alla de tre filerna.

 

Tryck sedan på Back-knappen så att scan-fönstret syns igen.

 

Avsluta alla andra program. Dra ur internet-anslutningen.

Tryck på Fix checked.

 

Starta om datorn i felsäkert läge.

Kontrollera att de tre filerna är borta.

 

Starta om i normalt läge. Tala om hur det har gått och bifoga en ny logg.