Danger: Spyware

[leef]

Hej,

 

mitt första inlägg på detta forum...

 

Jag har drabbats av någon form av virus. Bakgrundsbilden blir röd med en svart box med texten"Danger: Spyware...". Förutom det tråkiga med bakgrunden så kan jag inte högerklicka på skrivbordet eller i utforskaren.

 

Bifogare en logg och vore myckt tacksam om någon ville kolla igenom denna och ge mig tips på hur jag ska komma vidare.

 

Tack på förhand

 

/leef

 

[log]Logfile of HijackThis v1.99.1

Scan saved at 00:05:52, on 2005-04-14

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\System32\drivers\CDAC11BA.EXE

C:\Program\Delade filer\Symantec Shared\ccProxy.exe

C:\Program\Delade filer\Symantec Shared\ccSetMgr.exe

C:\WINDOWS\System32\CTsvcCDA.exe

C:\WINDOWS\system32\crypserv.exe

C:\WINDOWS\system32\id2scaps.exe

C:\Program\Norton Internet Security Professional\Norton AntiVirus\navapsvc.exe

C:\Program\Norton Internet Security Professional\Norton AntiVirus\AdvTools\NPROTECT.EXE

C:\WINDOWS\Explorer.EXE

C:\Program\Norton Internet Security Professional\Norton AntiVirus\SAVScan.exe

C:\WINDOWS\system32\Smartscaps.exe

C:\Program\Delade filer\Symantec Shared\SNDSrvc.exe

C:\Program\Delade filer\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\Program\Delade filer\Symantec Shared\ccEvtMgr.exe

C:\Program\Delade filer\Symantec Shared\ccApp.exe

C:\Program\NetLimiter\NetLimiter.exe

C:\Program\Microsoft AntiSpyware\gcasServ.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

C:\Program\SmartTrust\SmartTrust Personal\Csp\SmartCertmover.exe

C:\Program\Microsoft AntiSpyware\gcasDtServ.exe

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\System32\msiexec.exe

C:\Program\Messenger\msmsgs.exe

C:\Documents and Settings\Administratör\Skrivbord\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/se/sve/gen/default.htm'>http://www.euro.dell.com/countries/se/sve/gen/default.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.se/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.euro.dell.com/countries/se/sve/gen/default.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: CNisExtBho Class - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program\Delade filer\Symantec Shared\AdBlocking\NISShExt.dll

O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program\Delade filer\Symantec Shared\AdBlocking\NISShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [ccApp] "C:\Program\Delade filer\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [ccRegVfy] "C:\Program\Delade filer\Symantec Shared\ccRegVfy.exe"

O4 - HKLM\..\Run: [urlLSTCK.exe] C:\Program\Norton Internet Security Professional\UrlLstCk.exe

O4 - HKLM\..\Run: [Advanced Tools Check] C:\Program\NORTON~3\NORTON~1\AdvTools\ADVCHK.EXE

O4 - HKLM\..\Run: [sSC_UserPrompt] C:\Program\Delade filer\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\Program\SYMNET~1\SNDMon.exe

O4 - HKLM\..\Run: [NetLimiter] C:\Program\NetLimiter\NetLimiter.exe /s

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [utc] C:\WINDOWS\System32\Ujl.exe

O4 - HKLM\..\Run: [Hhl] C:\WINDOWS\Ioh.exe

O4 - HKLM\..\Run: [Rbr] C:\WINDOWS\Fim.exe

O4 - HKLM\..\Run: [gcasServ] "C:\Program\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [symantec NetDriver Monitor] C:\Program\Symantec\LIVEUP~1\SNDMon.EXE

O4 - HKCU\..\Run: [NTSF MICROSOFT SYSTEM] winreg32.exe

O4 - HKCU\..\Run: [Aei] C:\WINDOWS\Rom.exe

O4 - HKCU\..\Run: [Dhq] C:\WINDOWS\System32\Qta.exe

O4 - HKCU\..\Run: [Tao] C:\WINDOWS\Glp.exe

O4 - HKCU\..\Run: [ico] C:\WINDOWS\System32\Pvc.exe

O4 - HKCU\..\Run: [Det] C:\WINDOWS\System32\Jmb.exe

O4 - HKCU\..\Run: [urr] C:\WINDOWS\System32\Uqh.exe

O4 - HKCU\..\Run: [sqd] C:\WINDOWS\System32\Cse.exe

O4 - HKCU\..\Run: [Mil] C:\WINDOWS\System32\Ugi.exe

O4 - HKCU\..\Run: [Ove] C:\WINDOWS\Rii.exe

O4 - HKCU\..\Run: [sde] C:\WINDOWS\Pfp.exe

O4 - HKCU\..\Run: [Jod] C:\WINDOWS\System32\Cfm.exe

O4 - HKCU\..\Run: [Qsi] C:\WINDOWS\Ohh.exe

O4 - HKCU\..\Run: [Rms] C:\WINDOWS\Fmn.exe

O4 - HKCU\..\Run: [Vca] C:\WINDOWS\System32\Ife.exe

O4 - HKCU\..\Run: [Duo] C:\WINDOWS\System32\Jss.exe

O4 - HKCU\..\Run: [Lqt] C:\WINDOWS\Vek.exe

O4 - HKCU\..\Run: [Vno] C:\WINDOWS\System32\Qgn.exe

O4 - HKCU\..\Run: [Vpp] C:\WINDOWS\System32\Big.exe

O4 - HKCU\..\Run: [Nqq] C:\WINDOWS\System32\Phg.exe

O4 - HKCU\..\Run: [utc] C:\WINDOWS\System32\Ujl.exe

O4 - HKCU\..\Run: [Hhl] C:\WINDOWS\Ioh.exe

O4 - HKCU\..\Run: [Rbr] C:\WINDOWS\Fim.exe

O4 - Global Startup: Acrobat Assistant.lnk = C:\Program\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

O4 - Global Startup: Certificate Mover.lnk = ?

O4 - Global Startup: SpySubtract.lnk = C:\program files\interMute\SpySubtract\SpySub.exe

O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\Program\MICROS~3\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Shorten URL - http://www.cjb.net/menuext.html

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{CBEBDE18-19F7-4C06-9452-88BD93BD4A83}: NameServer = 212.181.54.2,212.181.54.3

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\ccSetMgr.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe

O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe

O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing)

O23 - Service: iD2 Smart Card Server (id2scaps) - iD2 Technologies - C:\WINDOWS\system32\id2scaps.exe

O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Program\Norton Internet Security Professional\Norton AntiVirus\navapsvc.exe

O23 - Service: Intel® NMS (NMSSvc) - Intel Corporation - C:\WINDOWS\System32\NMSSvc.exe

O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program\Norton Internet Security Professional\Norton AntiVirus\AdvTools\NPROTECT.EXE

O23 - Service: PACSPTISVR - Sony Corporation - C:\Program\Delade filer\Sony Shared\AVLib\PACSPTISVR.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Program\Norton Internet Security Professional\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\Program\DELADE~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: SmartTrust Smart Card Server (Smartscaps) - SmartTrust - C:\WINDOWS\system32\Smartscaps.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\SNDSrvc.exe

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program\Delade filer\Sony Shared\AVLib\SPTISRV.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\Security Center\SymWSC.exe

[/log]

[inlägget ändrat 2005-04-14 18:52:09 av leef]

[inlägget ändrat 2005-04-14 18:53:28 av leef]

[Anneloan]

Kanske den här sidan kan hjälpa dig!?

http://www.geekstogo.com/forum/Desktop_Spyware_Danger_Warning-t15165.html

 

[Zipp.]

Det har kommit ut en ny fix till denna variantten och man kan pröva att köra den.

Skicka en ny Hijack logg imorron.

 

[diGitahL]

Innan du börjar, sätt HJT i en PERMANENT MAPP

Alltså, C:\HJT\hijackthis.exe, mer info nedan

Innan du startar, kan du spara tid genom att köra följade spyware program.

 

Kör CWShredder:

CWShredder är det första att köra. Detta varför: Om en CoolWebSearch variant körs på din dator kan det vara så att den inte tillåter några spyware scans. Det är smart nog att köra det, kolla först om den hittar något och sedan scanna med andra program. Ladda ner CWShredder till skrivbordet eller annat ställe. Stäng alla internet fönsterm dubbelklicka CWShredder ikonen att starta, kolla updates först och klicka senan Fix -> knappen. När den är klar, starta om och kör resterande program.

http://cwshredder.net/bin/CWShredder.exe

 

Kör Ad-Adare

www.lavasoft.com

 

Kör spybit S&D-

http://www.safer-networking.org/index.php?page=download

 

Kör ett antivirus program med senaste update, om du inte har så kan du köra en online scanner, t.ex Trendmicro

 

Före du ändrar någonting i Hijack This!

 

1) Det är viktigt att skapa en permanent mapp för det t.ex C:\HJT. Detta är nödvändigt eftersom HJT skapar backups som du kan återställa när någonting har gått fel.

 

2) Kör HijackThis och klicka på "Config". Kolla så att den ä satt till att spara backups. R

 

Note: Kolla så att alla windows fönster (t.ex Internet Explorer) är stängda innan du klickar på Fix Selected" annars så kan det vara så att HijackThis inte kan ta bort några filer.

 

 

Scanna datorn med denna scanner

 

http://www.spywareinfo.dk/download/mwav.exe

 

Dubbelklicka på mwav.exe sen klicka Unzip och den skapar automatiskt en ny mapp C:\Kapersky

Sen öppna Kapersky mappen och dubbelklicka på kavupd.exe och leta uppdateringar.

När den är klar så tryck på nån tangent och det blir automatiskt 2 nya mappar på C:\

 

C:\Bases

C:\Downloads

 

Öppna Downloads mappen och måla alla filer och Klipp ut

Klicka på Kapersky mappen och klistra in och svara ja till alla.

Sen öppna Kapersky mappen och dubbelklicka på mwavscan.com

Bocka i Drive och Scan All Files.

Sen klicka på Scan och låt den scanna klart.(kan ta upp till 2 timmar)

Kopiera det som blir i nedre fönster.

Först måla svart sen Ctrl+C (kopiera)

Sen Ctrl+V (klista in)

 

Skicka hit loggen från scannen,alltså allt som kommer i nedre fönster.

 

 

[Brynäsarn]

 

Ad-aware laddar du ner härifrån http://www.lavasoft.com glöm inte att

uppdatera innan du kör ad-aware,klicka på Check for updates now,

därefter klicka på Start välj Full system Scan klicka på Next för

att köra programmet.