Just nu i M3-nätverket
Jump to content

Också smittade av Trojan-Spy.HTML.Smitfraud.c


alos

Recommended Posts

Hej

Här kommer log-filen först efter den har jag skrivit ytterligare frågor samt svar på de frågor Du Cecilia ställde .

 

Logfile of HijackThis v1.99.1

Scan saved at 15:53:31, on 2005-05-04

Platform: Windows ME (Win9x 4.90.3000)

MSIE: Internet Explorer v5.50 (5.50.4134.0100)

 

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\WINDOWS\SYSTEM\SSDPSRV.EXE

C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE

C:\WINDOWS\SYSTEM\STIMON.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE

C:\WINDOWS\TEMP\ICSUPP95.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\PROGRAM\NETROPA\MULTIMEDIA KEYBOARD\MMKEYBD.EXE

C:\PROGRAM\BACKWEB\PROGRAM\BACKWEB.EXE

C:\PROGRAM\NORTON ANTIVIRUS\POPROXY.EXE

C:\PROGRAM\REAL\REALPLAYER\REALPLAY.EXE

C:\PROGRAM\SOPHOS SWEEP\ICMON.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\PROGRAM\NORTON ANTIVIRUS\NAVAPW32.EXE

C:\WINDOWS\LOADQM.EXE

C:\WINDOWS\SYSTEM\QTTASK.EXE

C:\WINDOWS\RUNDLL32.EXE

C:\WINDOWS\SYSTEM\5IJY3RT51183COTHD.EXE

C:\PROGRAM\NETROPA\MULTIMEDIA KEYBOARD\TRAYMON.EXE

C:\PROGRAM\NETROPA\ONSCREEN DISPLAY\OSD.EXE

C:\PROGRAM\MESSENGER\MSMSGS.EXE

C:\PROGRAM\REAL\REALJUKEBOX\TSYSTRAY.EXE

C:\WINDOWS\SYSTEM\NHZBGY9THXR.EXE

C:\WP.EXE

C:\PROGRAM\ZONE LABS\ZONEALARM\ZONEALARM.EXE

C:\PROGRAM\WINZIP\WZQKPICK.EXE

C:\PROGRAM\PACKARD BELL DIAMOND 2400\DRIVER\WATCH.EXE

C:\PROGRAM\ULEAD SYSTEMS\ULEAD PHOTO EXPRESS 3.0 SE\CALCHECK.EXE

C:\PROGRAM\OLYMPUS\CAMEDIA MASTER 4.1\CM_CAMERA.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\WINDOWS\SYSTEM\RNAAPP.EXE

C:\WINDOWS\SYSTEM\TAPISRV.EXE

C:\WINDOWS\SYSTEM\HIDSERV.EXE

C:\PROGRAM\INTERNET EXPLORER\IEXPLORE.EXE

C:\WINDOWS\SYSTEM\PSTORES.EXE

C:\UNZIPPED\HIJACKTHIS\HIJACKTHIS.EXE

 

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://letgohome.com/sp.htm?id=9'>http://letgohome.com/sp.htm?id=9'>http://letgohome.com/sp.htm?id=9

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://letgohome.com/sp.htm?id=9

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://letgohome.com/hp.htm?id=9

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://letgohome.com/sp.htm?id=9

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.yahoo.com/search?p=%s

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

F1 - win.ini: run=hpfsched

O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\SYSTEM\MVWU29~1.DLL

O3 - Toolbar: &Kangaroo - {663C7429-E454-11D3-B9AE-0000B4C32B4D} - C:\IDC\WEBKA.DLL

O3 - Toolbar: @msdxmLC.dll,-1@1053,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O4 - HKLM\..\Run: [scanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s

O4 - HKLM\..\Run: [systemTray] SysTray.Exe

O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Program\Netropa\Multimedia Keyboard\MMKeybd.exe

O4 - HKLM\..\Run: [reminder.exe] C:\program\BackWeb\tuner\reminder.exe

O4 - HKLM\..\Run: [Hidserv] Hidserv.exe run

O4 - HKLM\..\Run: [Norton eMail Protect] C:\Program\Norton AntiVirus\POPROXY.EXE

O4 - HKLM\..\Run: [RealTray] C:\Program\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER

O4 - HKLM\..\Run: [Hotbar Installer] C:\Program\Hotbar\bin\3.0.8.0\HBINST.EXE /Upgrade

O4 - HKLM\..\Run: [interCheckMonitor] "C:\PROGRAM\SOPHOS SWEEP\ICMON.EXE" -minimised

O4 - HKLM\..\Run: [OEMCleanup] C:\WINDOWS\OPTIONS\OEMRESET.EXE /O

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRAM\NORTON~1\NAVAPW32.EXE /LOADQUIET

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [QuickTime Task] C:\WINDOWS\SYSTEM\QTTASK.EXE

O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRAM\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s

O4 - HKLM\..\Run: [Control handler] C:\WINDOWS\SYSTEM\5IJY3RT51183COTHD.EXE

O4 - HKLM\..\Run: [Media Access] C:\PROGRAM FILES\MEDIA ACCESS\MediaAccK.exe

O4 - HKLM\..\RunServices: [scriptBlocking] "C:\Program\Vanliga filer\Symantec Shared\Script Blocking\SBServ.exe" -reg

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [schedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [sSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe

O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe

O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service

O4 - HKLM\..\RunServices: [MiniLog] C:\WINDOWS\SYSTEM\ZONELABS\MINILOG.EXE -service

O4 - HKLM\..\RunServices: [stillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE

O4 - HKLM\..\RunServices: [sweep95] C:\Program\Sophos SWEEP\ICLOAD95.EXE

O4 - HKCU\..\Run: [MoneyAgent] "C:\Program\Microsoft Money\System\Money Express.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\PROGRAM\MESSEN~1\msmsgs.exe" /background

O4 - HKCU\..\Run: [RealJukeboxSystray] "C:\PROGRAM\REAL\REALJUKEBOX\tsystray.exe"

O4 - HKCU\..\Run: [romahere3] C:\WINDOWS\SYSTEM\NHZBGY9THXR.EXE

O4 - HKCU\..\Run: [WindowsFY] C:\WP.EXE

O4 - Startup: Microsoft Office.lnk = C:\Program\Microsoft Office\Office\OSA9.EXE

O4 - Startup: WinZip Quick Pick.lnk = C:\Program\WinZip\WZQKPICK.EXE

O4 - Startup: Watch.lnk = C:\Program\Packard Bell Diamond 2400\Driver\WATCH.exe

O4 - Startup: Ulead Photo Express 3.0 SE Calendar Checker.lnk = C:\Program\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe

O4 - Startup: CAMEDIA Master.lnk = C:\Program\OLYMPUS\CAMEDIA Master 4.1\CM_camera.exe

O4 - Global Startup: ZoneAlarm.lnk = C:\Program\Zone Labs\ZoneAlarm\zonealarm.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRAM\MESSEN~1\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRAM\MESSEN~1\MSMSGS.EXE

O9 - Extra button: Kangaroo - {06A18DC1-FE86-11d3-B9AF-0000B4C32B4D} - http://knowledge-assistant.com/webka/toolbar/tbie.asp (file missing)

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL

O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL

O9 - Extra button: Microsoft AntiSpyware helper - {E467F5A0-1206-4C48-B08E-5035469BFBF1} - C:\WINDOWS\SYSTEM\WLDR.DLL

O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {E467F5A0-1206-4C48-B08E-5035469BFBF1} - C:\WINDOWS\SYSTEM\WLDR.DLL

O9 - Extra button: Microsoft AntiSpyware helper - {29090BF3-047C-46E6-BE37-0647AFA61894} - C:\WINDOWS\SYSTEM\WLDR.DLL

O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {29090BF3-047C-46E6-BE37-0647AFA61894} - C:\WINDOWS\SYSTEM\WLDR.DLL

O9 - Extra button: Microsoft AntiSpyware helper - {E467F5A0-1206-4C48-B08E-5035469BFBF1} - C:\WINDOWS\SYSTEM\WLDR.DLL (HKCU)

O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {E467F5A0-1206-4C48-B08E-5035469BFBF1} - C:\WINDOWS\SYSTEM\WLDR.DLL (HKCU)

O9 - Extra button: Microsoft AntiSpyware helper - {29090BF3-047C-46E6-BE37-0647AFA61894} - C:\WINDOWS\SYSTEM\WLDR.DLL (HKCU)

O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {29090BF3-047C-46E6-BE37-0647AFA61894} - C:\WINDOWS\SYSTEM\WLDR.DLL (HKCU)

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Control) - http://communities.msn.se/scr/MsnPUpld.cab

O16 - DPF: {9A54032D-31F7-400D-B184-83B33BDE65FA} (MSN File Upload Control) - http://communities.msn.se/scr/MsnUpld.cab

O16 - DPF: {DC765522-D5BE-49C9-AF5F-8C715A44BA28} (MS Investor Ticker) - http://fdl.msn.com/public/investor/v9.5/ticker.cab

O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security2.norton.com/us/sa/common/common/bin/cabsa.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security2.norton.com/us/nav/common/common/bin/AvSniff.cab

O16 - DPF: {E6A3C1E2-F792-483E-9133-596215172BE9} (AcceptLang Class) - http://runonce.msn.com/setacceptlang.cab

O16 - DPF: {DF6A0F17-0B1E-11D4-829D-00C04F6843FE} (Microsoft Office Tools on the Web Control) - http://dgl.microsoft.com/downloads/outc.cab

O16 - DPF: {59CCB4A0-727D-11CF-AC36-00AA00A47DD2} (Timer Object) - http://activex.microsoft.com/activex/controls/iexplorer/x86/ietimer.cab

O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} (CSS Web Installer Class) - http://www.aftonbladet.se/it/special/command/cod/cabs/cssweb.cab

O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTSInstallers/MetaStream3.cab?url=http://www.viewpoint.com/cgi-bin/vet_install_popup.pl?1&04.00.07.02&http://www.fujitsu-siemens.se/consumer/scaleo600.htm

O16 - DPF: {BF985246-09BF-11D2-BE62-006097DF57F6} (SimCityX Control) - http://simcity.ea.com/play/classic/SimCityX.cab

O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://antu.popcap.com/games/popcaploader_v5.cab

O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://vparivalka.com/G7/chm10.chm::/ieloader.exe

O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab

O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab

O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6247971CanadaInc/ie/bridge-c7.cab

 

 

 

Jag följde instruktionerna från Pieter Arntz på länken http://www.wilderssecurity.com/showthread.php?t=75890

 

För det första hittade jag inte Security IGuard, Virtual Maid, Search Maid när jag öppnade lägg till / Ta bort program.

 

För det andra när jag ställde in datorn för att visa gömda filer hittade jag bara en engelsk sida som gav instruktioner (från msn.)

OS är Windows ME

 

Första delen i den instruktionen gick att följa Min dator - Verktyg - Mappalternativ - Visa - Visa gömda filer och mappar - ta bort markeringen för Göm skyddade OS filer (rekommenderad) - Ja - OK

 

Sedan fick jag problem. Andra delen där jag skulle börja med Start - Program -Tillbehör och sedan öppna Utforskaren. Jag valde hårdisken C och sedan skulle jag välja View the entire contents of this drive (exakt vad betyder det, Jag hittade ingen rad som jag kunde markera eller avmarkera. Förstår inte

 

MVH

Annette som är väldigt tacksam för hjälpen

 

 

 

 

[log][/log]

 

[inlägget ändrat 2005-05-04 16:04:04 av alos]

Link to comment
Share on other sites

Angående Pieter Arntz instruktioner:

 

Lägg till /ta bort program så står det om de finns så ska man ta bort dem, kan antagligen variera om de syns där eller inte, så det är nog inget att bry sig om.

 

När det gäller gömda filer så är det du gjorde som är det viktiga. View the Entire contents... har jag inte sett i någon annan beskrivning för Windows ME, t ex den här:

http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2002092715262339?Open&src=ent&docid=2002092514302348&nsf=ent-security.nsf&view=docid&dtype=corp&prod=Symantec%20AntiVirus%20Corporate%20Edition&ver=8.x&osv=&osv_lvl=

 

Så nu kan du nog fortsätta med Aktivitetshanteraren (Task manager) och så vidare.

 

Fråga på om det dyker upp mer problem, jag sitter vid datorn i ca en timme till, sen får vi hoppas att någon annan kan svara.

 

Om det går bra alltihop så lägg hit en ny HijackThis-logg så det går att kolla att det inte finns andra otrevligheter på datorn.

Kom ihåg LOG-knappen då bara!

 

Link to comment
Share on other sites

Hej

 

Skickar logen igen (nytt försök) Jag vet inte vad jag ska ta bort- Enl PA´s instruktioner skulle det finnas en radda med filer att ta bort, men jag kan bara hitta en ??

 

MVH

Annette

[log]Logfile of HijackThis v1.99.1

Scan saved at 15:53:31, on 2005-05-04

Platform: Windows ME (Win9x 4.90.3000)

MSIE: Internet Explorer v5.50 (5.50.4134.0100)

 

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\WINDOWS\SYSTEM\SSDPSRV.EXE

C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE

C:\WINDOWS\SYSTEM\STIMON.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE

C:\WINDOWS\TEMP\ICSUPP95.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\PROGRAM\NETROPA\MULTIMEDIA KEYBOARD\MMKEYBD.EXE

C:\PROGRAM\BACKWEB\PROGRAM\BACKWEB.EXE

C:\PROGRAM\NORTON ANTIVIRUS\POPROXY.EXE

C:\PROGRAM\REAL\REALPLAYER\REALPLAY.EXE

C:\PROGRAM\SOPHOS SWEEP\ICMON.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\PROGRAM\NORTON ANTIVIRUS\NAVAPW32.EXE

C:\WINDOWS\LOADQM.EXE

C:\WINDOWS\SYSTEM\QTTASK.EXE

C:\WINDOWS\RUNDLL32.EXE

C:\WINDOWS\SYSTEM\5IJY3RT51183COTHD.EXE

C:\PROGRAM\NETROPA\MULTIMEDIA KEYBOARD\TRAYMON.EXE

C:\PROGRAM\NETROPA\ONSCREEN DISPLAY\OSD.EXE

C:\PROGRAM\MESSENGER\MSMSGS.EXE

C:\PROGRAM\REAL\REALJUKEBOX\TSYSTRAY.EXE

C:\WINDOWS\SYSTEM\NHZBGY9THXR.EXE

C:\WP.EXE

C:\PROGRAM\ZONE LABS\ZONEALARM\ZONEALARM.EXE

C:\PROGRAM\WINZIP\WZQKPICK.EXE

C:\PROGRAM\PACKARD BELL DIAMOND 2400\DRIVER\WATCH.EXE

C:\PROGRAM\ULEAD SYSTEMS\ULEAD PHOTO EXPRESS 3.0 SE\CALCHECK.EXE

C:\PROGRAM\OLYMPUS\CAMEDIA MASTER 4.1\CM_CAMERA.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\WINDOWS\SYSTEM\RNAAPP.EXE

C:\WINDOWS\SYSTEM\TAPISRV.EXE

C:\WINDOWS\SYSTEM\HIDSERV.EXE

C:\PROGRAM\INTERNET EXPLORER\IEXPLORE.EXE

C:\WINDOWS\SYSTEM\PSTORES.EXE

C:\UNZIPPED\HIJACKTHIS\HIJACKTHIS.EXE

 

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://letgohome.com/sp.htm?id=9'>http://letgohome.com/sp.htm?id=9'>http://letgohome.com/sp.htm?id=9

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://letgohome.com/sp.htm?id=9

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://letgohome.com/hp.htm?id=9

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://letgohome.com/sp.htm?id=9

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.yahoo.com/search?p=%s

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

F1 - win.ini: run=hpfsched

O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\SYSTEM\MVWU29~1.DLL

O3 - Toolbar: &Kangaroo - {663C7429-E454-11D3-B9AE-0000B4C32B4D} - C:\IDC\WEBKA.DLL

O3 - Toolbar: @msdxmLC.dll,-1@1053,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O4 - HKLM\..\Run: [scanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s

O4 - HKLM\..\Run: [systemTray] SysTray.Exe

O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Program\Netropa\Multimedia Keyboard\MMKeybd.exe

O4 - HKLM\..\Run: [reminder.exe] C:\program\BackWeb\tuner\reminder.exe

O4 - HKLM\..\Run: [Hidserv] Hidserv.exe run

O4 - HKLM\..\Run: [Norton eMail Protect] C:\Program\Norton AntiVirus\POPROXY.EXE

O4 - HKLM\..\Run: [RealTray] C:\Program\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER

O4 - HKLM\..\Run: [Hotbar Installer] C:\Program\Hotbar\bin\3.0.8.0\HBINST.EXE /Upgrade

O4 - HKLM\..\Run: [interCheckMonitor] "C:\PROGRAM\SOPHOS SWEEP\ICMON.EXE" -minimised

O4 - HKLM\..\Run: [OEMCleanup] C:\WINDOWS\OPTIONS\OEMRESET.EXE /O

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRAM\NORTON~1\NAVAPW32.EXE /LOADQUIET

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [QuickTime Task] C:\WINDOWS\SYSTEM\QTTASK.EXE

O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRAM\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s

O4 - HKLM\..\Run: [Control handler] C:\WINDOWS\SYSTEM\5IJY3RT51183COTHD.EXE

O4 - HKLM\..\Run: [Media Access] C:\PROGRAM FILES\MEDIA ACCESS\MediaAccK.exe

O4 - HKLM\..\RunServices: [scriptBlocking] "C:\Program\Vanliga filer\Symantec Shared\Script Blocking\SBServ.exe" -reg

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [schedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [sSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe

O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe

O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service

O4 - HKLM\..\RunServices: [MiniLog] C:\WINDOWS\SYSTEM\ZONELABS\MINILOG.EXE -service

O4 - HKLM\..\RunServices: [stillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE

O4 - HKLM\..\RunServices: [sweep95] C:\Program\Sophos SWEEP\ICLOAD95.EXE

O4 - HKCU\..\Run: [MoneyAgent] "C:\Program\Microsoft Money\System\Money Express.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\PROGRAM\MESSEN~1\msmsgs.exe" /background

O4 - HKCU\..\Run: [RealJukeboxSystray] "C:\PROGRAM\REAL\REALJUKEBOX\tsystray.exe"

O4 - HKCU\..\Run: [romahere3] C:\WINDOWS\SYSTEM\NHZBGY9THXR.EXE

O4 - HKCU\..\Run: [WindowsFY] C:\WP.EXE

O4 - Startup: Microsoft Office.lnk = C:\Program\Microsoft Office\Office\OSA9.EXE

O4 - Startup: WinZip Quick Pick.lnk = C:\Program\WinZip\WZQKPICK.EXE

O4 - Startup: Watch.lnk = C:\Program\Packard Bell Diamond 2400\Driver\WATCH.exe

O4 - Startup: Ulead Photo Express 3.0 SE Calendar Checker.lnk = C:\Program\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe

O4 - Startup: CAMEDIA Master.lnk = C:\Program\OLYMPUS\CAMEDIA Master 4.1\CM_camera.exe

O4 - Global Startup: ZoneAlarm.lnk = C:\Program\Zone Labs\ZoneAlarm\zonealarm.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRAM\MESSEN~1\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRAM\MESSEN~1\MSMSGS.EXE

O9 - Extra button: Kangaroo - {06A18DC1-FE86-11d3-B9AF-0000B4C32B4D} - http://knowledge-assistant.com/webka/toolbar/tbie.asp (file missing)

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL

O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL

O9 - Extra button: Microsoft AntiSpyware helper - {E467F5A0-1206-4C48-B08E-5035469BFBF1} - C:\WINDOWS\SYSTEM\WLDR.DLL

O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {E467F5A0-1206-4C48-B08E-5035469BFBF1} - C:\WINDOWS\SYSTEM\WLDR.DLL

O9 - Extra button: Microsoft AntiSpyware helper - {29090BF3-047C-46E6-BE37-0647AFA61894} - C:\WINDOWS\SYSTEM\WLDR.DLL

O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {29090BF3-047C-46E6-BE37-0647AFA61894} - C:\WINDOWS\SYSTEM\WLDR.DLL

O9 - Extra button: Microsoft AntiSpyware helper - {E467F5A0-1206-4C48-B08E-5035469BFBF1} - C:\WINDOWS\SYSTEM\WLDR.DLL (HKCU)

O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {E467F5A0-1206-4C48-B08E-5035469BFBF1} - C:\WINDOWS\SYSTEM\WLDR.DLL (HKCU)

O9 - Extra button: Microsoft AntiSpyware helper - {29090BF3-047C-46E6-BE37-0647AFA61894} - C:\WINDOWS\SYSTEM\WLDR.DLL (HKCU)

O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {29090BF3-047C-46E6-BE37-0647AFA61894} - C:\WINDOWS\SYSTEM\WLDR.DLL (HKCU)

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Control) - http://communities.msn.se/scr/MsnPUpld.cab

O16 - DPF: {9A54032D-31F7-400D-B184-83B33BDE65FA} (MSN File Upload Control) - http://communities.msn.se/scr/MsnUpld.cab

O16 - DPF: {DC765522-D5BE-49C9-AF5F-8C715A44BA28} (MS Investor Ticker) - http://fdl.msn.com/public/investor/v9.5/ticker.cab

O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security2.norton.com/us/sa/common/common/bin/cabsa.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security2.norton.com/us/nav/common/common/bin/AvSniff.cab

O16 - DPF: {E6A3C1E2-F792-483E-9133-596215172BE9} (AcceptLang Class) - http://runonce.msn.com/setacceptlang.cab

O16 - DPF: {DF6A0F17-0B1E-11D4-829D-00C04F6843FE} (Microsoft Office Tools on the Web Control) - http://dgl.microsoft.com/downloads/outc.cab

O16 - DPF: {59CCB4A0-727D-11CF-AC36-00AA00A47DD2} (Timer Object) - http://activex.microsoft.com/activex/controls/iexplorer/x86/ietimer.cab

O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} (CSS Web Installer Class) - http://www.aftonbladet.se/it/special/command/cod/cabs/cssweb.cab

O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTSInstallers/MetaStream3.cab?url=http://www.viewpoint.com/cgi-bin/vet_install_popup.pl?1&04.00.07.02&http://www.fujitsu-siemens.se/consumer/scaleo600.htm

O16 - DPF: {BF985246-09BF-11D2-BE62-006097DF57F6} (SimCityX Control) - http://simcity.ea.com/play/classic/SimCityX.cab

O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://antu.popcap.com/games/popcaploader_v5.cab

O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://vparivalka.com/G7/chm10.chm::/ieloader.exe

O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab

O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab

O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6247971CanadaInc/ie/bridge-c7.cab

 

[/log]

 

Link to comment
Share on other sites

Du kanske har någon snällare variant utan så mycket filer.

Går det att mata in dem i Killbox fast de inte finns? De kanske skapas just i samband med en omstart.

 

Hur är det med mapparna som han tycker ska tas bort?

Har du dem?

 

Link to comment
Share on other sites

När du anser dig klar med Smitfraud-rensningen så kan du fortsätta med följande.

 

Du har också drabbats av någon webbläsarkidnappning, då kan programmet CWShredder hjälpa ibland. Det finns här:

http://www.intermute.com/spysubtract/cwshredder_download.html

Välj "Download stand-alone version... " i högerkanten.

 

Du har även drabbats av en New.net otrevlighet. Borttagning av den finns beskriven här:

http://www.bleepingcomputer.com/forums/How_to_remove_Newnet_NewDotNet-t3095.html

 

Med tanke på att det verkar vara en hel del i den där loggen så föreslår jag också att du använder denna skanner:

http://www.spywareinfo.dk/download/mwav.exe

 

Dubbelklicka på mwav.exe sen klicka Unzip och den skapar automatiskt en ny mapp C:\Kapersky

Sen öppna Kapersky-mappen och dubbelklicka på kavupd.exe och leta uppdateringar.

När den är klar så tryck på nån tangent och det blir automatiskt 2 nya mappar på C:

C:\Bases

C:\Downloads

 

Öppna Downloads-mappen och markera (måla) alla filer och Redigera-Klipp ut

Klicka på Kapersky-mappen och Redigera - Klistra in och svara ja till alla.

Sen öppna Kapersky-mappen och dubbelklicka på mwavscan.com.

Bocka i Drive och Scan All Files.

Sen klicka på Scan och låt den scanna klart (kan ta upp till 2 timmar).

Kopiera det som blir i nedre fönstret genom att markera (måla) alla och välja Ctrl+V.

 

Klistra även in detta från det nedre fönstret i ditt svar här.

 

Link to comment
Share on other sites

1. Jag har inte provat att ta bort någon fil med Killbox ännu

 

2. Jag hittar bara en av mapparna som PA säger ska tas bort

 

3 Jag laddar ner skannern Du föreslog och följer Dina instruktioner först.

 

När jag gjort detta hör jag av mig igen

 

Stort Tack för Din hjälp

Annette

 

Link to comment
Share on other sites

Hej Nu har jag kört Spyware info loggen blev > 110 sidor. Det fungerade inte med min dator att kopiera det markerade i underfönstret,.

 

jag fortsätter att försöka få bort kidnapparen av webbläsaren och New.net

 

Inte kan jag väl skicka hela loggfilen

 

MVH

Annette

 

 

Link to comment
Share on other sites

110 sidor blir nog lite mycket för Eforum.

 

Rensa kidnapparen, New.net och Smitfraud (följ det som går från anvisningarna, är det några mappar etc som inte finns så hoppa bara över dem) först och sedan kör mwav-skannern igen. Starta om datorn i felsäkert läge (tryck F8 upprepade gånger under uppstarten) och kör mwav-skannern igen, då bör loggen från den ha blivit så liten så att det går att klistra in den här för att kolla hur man får bort det som är kvar.

 

Jag håller tummarna! :thumbsup:

 

Link to comment
Share on other sites

Hej

 

Jag kan inte få bort kidnapparen, jag har försökt att bli av med New.net också - det går inte heller något bra.

 

Smitfraud. c tror jag att jag har fått bort. Jag följde PA´s instruktioner och varningen på förstasidan är borta, bilden är helt normal nu.

 

jag har skrivit till det forumet Du tipsade om för att få hjälp med att bli av med New.net. har precis skickat en loggfil från HiJack dit.

 

Tacksam för all hjälp jag kan få

Annette

 

Jag har läst instruktionerna hur man ska leta efter Newnet, men jag kan inte hitta den annat än när jag var inne i registret igår. Då låg den där som en egen mapp.

 

Kan jag gå in i registret och ta bort den mappen ???????

 

Hur ska jag få bort kidnapparen av webläsaren ?????

 

HJÄLP

Snälla

 

[inlägget ändrat 2005-05-06 15:25:14 av alos]

Link to comment
Share on other sites

Om du inte får någon hjälp av det andra forumet så kan du lägga ut en ny HijackThis-logg här, så kan jag titta på den vid tillfälle.

 

Link to comment
Share on other sites

den ser just nu ut så här:

 

Logfile of HijackThis v1.99.1

Scan saved at 16:31:02, on 2005-05-06

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\id2scaps.exe

C:\Program\Delade filer\Microsoft Shared\VS7Debug\mdm.exe

C:\Program\Norton AntiVirus\navapsvc.exe

C:\Program\Navnt\npssvc.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\popuper.exe

C:\WINDOWS\System32\msole32.exe

C:\WINDOWS\System32\intmonp.exe

C:\WINDOWS\System32\GSICON.EXE

C:\WINDOWS\System32\dslagent.exe

C:\Program\Real\RealPlayer\RealPlay.exe

C:\WINDOWS\System32\P2P Networking\P2P Networking.exe

C:\Program\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program\MSN Messenger\MsnMsgr.Exe

C:\bsw.exe

C:\Program\iD2\CSP\iD2CertMover.exe

C:\Program\Navnt\navapw32.exe

C:\Program\Personal\bin\Personal.exe

C:\Program\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program\Internet Explorer\iexplore.exe

C:\WINDOWS\explorer.exe

C:\HjT\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qfind.net/'>http://www.qfind.net/'>http://www.qfind.net/'>http://www.qfind.net/'>http://www.qfind.net/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.qfind.net/search.php?qq=%s'>http://www.qfind.net/search.php?qq=%s'>http://www.qfind.net/search.php?qq=%s'>http://www.qfind.net/search.php?qq=%s'>http://www.qfind.net/search.php?qq=%s'>http://www.qfind.net/search.php?qq=%s'>http://www.qfind.net/search.php?qq=%s'>http://www.qfind.net/search.php?qq=%s

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://qfind.net/bar/index.html'>http://qfind.net/bar/index.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.qfind.net/search.php?qq=%s

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.se/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qfind.net/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.qfind.net/search.php?qq=%s

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://qfind.net/bar/index.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.qfind.net/search.php?qq=%s

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.qfind.net/

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.qfind.net/search.php?qq=%s

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.qfind.net/search.php?qq=%s

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.qfind.net/search.php?qq=%s

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.qfind.net/search.php?qq=%s

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.qfind.net/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.qfind.net/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - Default URLSearchHook is missing

F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe

O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Program\MyWay\myBar\1.bin\MYBAR.DLL

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Program\MyWay\myBar\1.bin\MYBAR.DLL

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe

O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE

O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB

O4 - HKLM\..\Run: [RealTray] C:\Program\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER

O4 - HKLM\..\Run: [NAV Agent] C:\Program\NORTON~1\navapw32.exe

O4 - HKLM\..\Run: [Norton Program Scheduler Event Checker] C:\Program\Navnt\npscheck.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART

O4 - HKLM\..\Run: [spyHunter] C:\Program\SpyHunter\SpyHunter.exe

O4 - HKLM\..\Run: [statusClient] C:\Program\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto

O4 - HKLM\..\Run: [TomcatStartup] C:\Program\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe

O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\System32\msmsgs.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [WindowsFY] c:\bsw.exe

O4 - Global Startup: iD2 CSP Certificate Utility.lnk = C:\Program\iD2\CSP\iD2CertMover.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Norton AntiVirus AutoProtect.lnk = C:\Program\Navnt\navapw32.exe

O4 - Global Startup: Personal.lnk = C:\Program\Personal\bin\Personal.exe

O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\Program\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\MSMSGS.EXE

O12 - Plugin for .sgn: C:\Program\Internet Explorer\PLUGINS\npSign.dll

O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20021126/qtinstall.info.apple.com/sikes/se/win/QuickTimeInstaller.exe

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = kontor.swedestart.se

O17 - HKLM\Software\..\Telephony: DomainName = kontor.swedestart.se

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = kontor.swedestart.se

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = kontor.swedestart.se

O23 - Service: iD2 Smart Card Server (id2scaps) - iD2 Technologies - C:\WINDOWS\system32\id2scaps.exe

O23 - Service: NAV Alert - Symantec Corporation - C:\Program\Navnt\alertsvc.exe

O23 - Service: NAV Auto-Protect - Symantec Corporation - C:\Program\Navnt\navapsvc.exe

O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Program\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton Program Scheduler - Symantec Corporation - C:\Program\Navnt\npssvc.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\Script Blocking\SBServ.exe

 

Rikard

 

Link to comment
Share on other sites

Ett problem och en dator per tråd, tack. Annars blir det väldigt rörigt.

Vad jag ser så har du redan startat upp en tråd, lägg ut HijackThis-loggen i den tråden på detta sätt:

Tryck på LOG-knappen i Besvara-fönstret

Klistra in loggen

Tryck igen på LOG-knappen

 

Link to comment
Share on other sites

Hej

 

Jag har ännu inte fått något svar från det amerikanska forumet på hur jag ska göra för att bli av med Newnet och webläsarkidnapparen. Kan Du hjälpa mig.

 

Newnet finns i registret i en egen mapp. När jag letat på hårddisken har jag hittat en fil som det heter new.

Jag vet inte vad jag ska göra nu

 

Jag är väldigt tacksam för all hjälp

vänliga hälsningar

Annette

 

[log]Logfile of HijackThis v1.99.1

Scan saved at 06:48:29, on 2005-05-07

Platform: Windows ME (Win9x 4.90.3000)

MSIE: Internet Explorer v5.50 (5.50.4134.0100)

 

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\WINDOWS\SYSTEM\SSDPSRV.EXE

C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE

C:\WINDOWS\SYSTEM\STIMON.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE

C:\WINDOWS\TEMP\ICSUPP95.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\PROGRAM\NETROPA\MULTIMEDIA KEYBOARD\MMKEYBD.EXE

C:\PROGRAM\NORTON ANTIVIRUS\POPROXY.EXE

C:\PROGRAM\REAL\REALPLAYER\REALPLAY.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\PROGRAM\SOPHOS SWEEP\ICMON.EXE

C:\PROGRAM\NORTON ANTIVIRUS\NAVAPW32.EXE

C:\WINDOWS\LOADQM.EXE

C:\WINDOWS\SYSTEM\QTTASK.EXE

C:\WINDOWS\RUNDLL32.EXE

C:\PROGRAM\BACKWEB\PROGRAM\BACKWEB.EXE

C:\PROGRAM\MESSENGER\MSMSGS.EXE

C:\PROGRAM\REAL\REALJUKEBOX\TSYSTRAY.EXE

C:\PROGRAM\ZONE LABS\ZONEALARM\ZONEALARM.EXE

C:\PROGRAM\WINZIP\WZQKPICK.EXE

C:\PROGRAM\PACKARD BELL DIAMOND 2400\DRIVER\WATCH.EXE

C:\PROGRAM\ULEAD SYSTEMS\ULEAD PHOTO EXPRESS 3.0 SE\CALCHECK.EXE

C:\PROGRAM\OLYMPUS\CAMEDIA MASTER 4.1\CM_CAMERA.EXE

C:\PROGRAM FILES\INTERMUTE\SPYSUBTRACT\SPYSUB.EXE

C:\PROGRAM\NETROPA\MULTIMEDIA KEYBOARD\TRAYMON.EXE

C:\PROGRAM\NETROPA\ONSCREEN DISPLAY\OSD.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\WINDOWS\SYSTEM\PSTORES.EXE

C:\PROGRAM\INTERNET EXPLORER\IEXPLORE.EXE

C:\WINDOWS\SYSTEM\RNAAPP.EXE

C:\WINDOWS\SYSTEM\TAPISRV.EXE

C:\WINDOWS\SYSTEM\HIDSERV.EXE

C:\UNZIPPED\HIJACKTHIS\HIJACKTHIS.EXE

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://letgohome.com/sp.htm?id=9'>http://letgohome.com/sp.htm?id=9'>http://letgohome.com/sp.htm?id=9

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://letgohome.com/sp.htm?id=9

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://letgohome.com/sp.htm?id=9

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.yahoo.com/search?p=%s

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

F1 - win.ini: run=C:\WINDOWS\hpfsched.exe

O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\SYSTEM\MVWU29~1.DLL (file missing)

O3 - Toolbar: &Kangaroo - {663C7429-E454-11D3-B9AE-0000B4C32B4D} - C:\IDC\WEBKA.DLL

O3 - Toolbar: @msdxmLC.dll,-1@1053,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O4 - HKLM\..\Run: [scanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s

O4 - HKLM\..\Run: [systemTray] SysTray.Exe

O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Program\Netropa\Multimedia Keyboard\MMKeybd.exe

O4 - HKLM\..\Run: [reminder.exe] C:\program\BackWeb\tuner\reminder.exe

O4 - HKLM\..\Run: [Hidserv] Hidserv.exe run

O4 - HKLM\..\Run: [Norton eMail Protect] C:\Program\Norton AntiVirus\POPROXY.EXE

O4 - HKLM\..\Run: [RealTray] C:\Program\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER

O4 - HKLM\..\Run: [interCheckMonitor] "C:\PROGRAM\SOPHOS SWEEP\ICMON.EXE" -minimised

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRAM\NORTON~1\NAVAPW32.EXE /LOADQUIET

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [QuickTime Task] C:\WINDOWS\SYSTEM\QTTASK.EXE

O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRAM\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s

O4 - HKLM\..\RunServices: [scriptBlocking] "C:\Program\Vanliga filer\Symantec Shared\Script Blocking\SBServ.exe" -reg

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [schedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [sSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe

O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe

O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service

O4 - HKLM\..\RunServices: [stillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE

O4 - HKLM\..\RunServices: [sweep95] C:\Program\Sophos SWEEP\ICLOAD95.EXE

O4 - HKCU\..\Run: [MoneyAgent] "C:\Program\Microsoft Money\System\Money Express.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\PROGRAM\MESSEN~1\msmsgs.exe" /background

O4 - HKCU\..\Run: [RealJukeboxSystray] "C:\PROGRAM\REAL\REALJUKEBOX\tsystray.exe"

O4 - Startup: Microsoft Office.lnk = C:\Program\Microsoft Office\Office\OSA9.EXE

O4 - Startup: WinZip Quick Pick.lnk = C:\Program\WinZip\WZQKPICK.EXE

O4 - Startup: Watch.lnk = C:\Program\Packard Bell Diamond 2400\Driver\WATCH.exe

O4 - Startup: Ulead Photo Express 3.0 SE Calendar Checker.lnk = C:\Program\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe

O4 - Startup: CAMEDIA Master.lnk = C:\Program\OLYMPUS\CAMEDIA Master 4.1\CM_camera.exe

O4 - Startup: SpySubtract.lnk = C:\program files\InterMute\SpySubtract\SpySub.exe

O4 - Global Startup: ZoneAlarm.lnk = C:\Program\Zone Labs\ZoneAlarm\zonealarm.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRAM\MESSEN~1\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRAM\MESSEN~1\MSMSGS.EXE

O9 - Extra button: Kangaroo - {06A18DC1-FE86-11d3-B9AF-0000B4C32B4D} - http://knowledge-assistant.com/webka/toolbar/tbie.asp (file missing)

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL

O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL

O9 - Extra button: Microsoft AntiSpyware helper - {E467F5A0-1206-4C48-B08E-5035469BFBF1} - C:\WINDOWS\SYSTEM\WLDR.DLL (file missing)

O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {E467F5A0-1206-4C48-B08E-5035469BFBF1} - C:\WINDOWS\SYSTEM\WLDR.DLL (file missing)

O9 - Extra button: Microsoft AntiSpyware helper - {29090BF3-047C-46E6-BE37-0647AFA61894} - C:\WINDOWS\SYSTEM\WLDR.DLL (file missing)

O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {29090BF3-047C-46E6-BE37-0647AFA61894} - C:\WINDOWS\SYSTEM\WLDR.DLL (file missing)

O9 - Extra button: Microsoft AntiSpyware helper - {E467F5A0-1206-4C48-B08E-5035469BFBF1} - C:\WINDOWS\SYSTEM\WLDR.DLL (file missing) (HKCU)

O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {E467F5A0-1206-4C48-B08E-5035469BFBF1} - C:\WINDOWS\SYSTEM\WLDR.DLL (file missing) (HKCU)

O9 - Extra button: Microsoft AntiSpyware helper - {29090BF3-047C-46E6-BE37-0647AFA61894} - C:\WINDOWS\SYSTEM\WLDR.DLL (file missing) (HKCU)

O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {29090BF3-047C-46E6-BE37-0647AFA61894} - C:\WINDOWS\SYSTEM\WLDR.DLL (file missing) (HKCU)

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Control) - http://communities.msn.se/scr/MsnPUpld.cab

O16 - DPF: {9A54032D-31F7-400D-B184-83B33BDE65FA} (MSN File Upload Control) - http://communities.msn.se/scr/MsnUpld.cab

O16 - DPF: {DC765522-D5BE-49C9-AF5F-8C715A44BA28} (MS Investor Ticker) - http://fdl.msn.com/public/investor/v9.5/ticker.cab

O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security2.norton.com/us/sa/common/common/bin/cabsa.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security2.norton.com/us/nav/common/common/bin/AvSniff.cab

O16 - DPF: {E6A3C1E2-F792-483E-9133-596215172BE9} (AcceptLang Class) - http://runonce.msn.com/setacceptlang.cab

O16 - DPF: {DF6A0F17-0B1E-11D4-829D-00C04F6843FE} (Microsoft Office Tools on the Web Control) - http://dgl.microsoft.com/downloads/outc.cab

O16 - DPF: {59CCB4A0-727D-11CF-AC36-00AA00A47DD2} (Timer Object) - http://activex.microsoft.com/activex/controls/iexplorer/x86/ietimer.cab

O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} (CSS Web Installer Class) - http://www.aftonbladet.se/it/special/command/cod/cabs/cssweb.cab

O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTSInstallers/MetaStream3.cab?url=http://www.viewpoint.com/cgi-bin/vet_install_popup.pl?1&04.00.07.02&http://www.fujitsu-siemens.se/consumer/scaleo600.htm

O16 - DPF: {BF985246-09BF-11D2-BE62-006097DF57F6} (SimCityX Control) - http://simcity.ea.com/play/classic/SimCityX.cab

O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://antu.popcap.com/games/popcaploader_v5.cab

O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab

O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab

O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6247971CanadaInc/ie/bridge-c7.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

 

[/log]

 

Link to comment
Share on other sites

Halloj Annette, måste bara veta ett par saker.

 

1) mwav scannern du scannade med, blev den hela 110 sidor lång?!

 

2) Du får inte bort Newdotnet varken genom Lägg till / ta bort program, eller en uninstaller i mappen C:\Program Files\NewDotNet\ ?

 

Har du testat ladda ner den senaste uninstallern?

 

PROCEDURE 4 (Ladda ner Uninstall från Newdot):

 

Från en dator som har internetåtkomst, klicka på följande länk

http://www.new.net/support/uninstall6_76.exe.

Ladda ner och spara uninstall6_76.exe till skrivborted ex

Starta uninstallern och följ instruktionerna i den.

Efter du tagir bort NewdotNet, om du blir tillfrågad att starta om gör det.

 

Fick detta bort det?

 

Ang scannern, vi gör såhär också.

Då jag befarar att det fanns mycket i System Restore, Återställningsmappen så testar vi stänga av den..

 

För att stänga av ME systemåterställning

 

1. Click Start > Settings > Control Panel.

2. Double-click the System icon.

 

--------------------------------------------------------------------------------

Note: If the System icon is not visible, click "View all Control Panel options" to display it.

--------------------------------------------------------------------------------

 

3. On the Performance tab click File System.

 

4. Click the Troubleshooting tab, and then check Disable System Restore as shown in this illustration.

 

5. Click OK. Click Yes, when you are prompted to restart Windows.

6. Follow the instructions in the document that instructed you to disable System Restore (such as troubleshooting or virus removal). When all instructions have been completed, enable System Restore again by following the instructions below.

 

 

(To enable Windows Me System Restore

Click Start > Settings > Control Panel.

Double-click System.

On the Performance tab click File System.

On the Troubleshooting tab, uncheck Disable System Restore.

Click OK. Click Yes, when you are prompted to restart Windows.)

 

Men gör inte detta en förrens vi rensat systemet från ohyra.

 

[log]Töm innehållet i dina temp mappar såsom C:\documents and settings\ditt namn\lokala inställningar\temp och temporary internet files. Och även C:\windows\temp

 

Vill du ha hjälp med det så kan du tanka ner detta program

 

Empty Temp Folders 2.8.3

http://www.majorgeeks.com/download1575.html

 

Kör CWShredder:

CWShredder är det första att köra. Detta varför: Om en CoolWebSearch variant körs på din dator kan det vara så att den inte tillåter några spyware scans. Det är smart nog att köra det, kolla först om den hittar något och sedan scanna med andra program. Ladda ner CWShredder till skrivbordet eller annat ställe. Stäng alla internet fönsterm dubbelklicka CWShredder ikonen att starta, kolla updates först och klicka senan Fix -> knappen. När den är klar, starta om och kör resterande program.

http://cwshredder.net/bin/CWShredder.exe

 

Kör Ad-Aware

http://www.majorgeeks.com/download506.html

 

Starta och om den frågar om att ta bort den gamla versionen så gör det. Efter installationen glöm inte att uppdatera! Tryck sen på start och välj "full system scan" och välj bort "search for negligible risk entries" Efter den är klar om den hittar något så välj "Scan summary" Och ta bort grupp för grupp. Ibland måste man starta om datan och scanna om för att få bort allt.

 

 

Spybot-Search & Destoy

http://www.download.com/Spybot-Search-Destroy/3000-8022-10289035.html?tag=list

 

Ladda ner och installera, uppdatera den och gör en backup av registret.

Immunizera systemet och gör en scan. [/log]

 

Gör en Kaspersky/mwav scan nu, hur lång blir loggen?

Sätt in den här spå kan ajg kolla den.

 

Link to comment
Share on other sites

Hej

Tack för Ditt svar!

 

Ja första logfilen blev 110 sidor lång. Det fungerade inte att markera allt - kopiera i det nedre fönstret . Därför kopierade jag logfilen i det översta fönstret. och den blev > 110 sidor lång.

 

Snällt att Du frågar, New.net är nu borta, jag fick hjälp av pskelley på bleepingcomputer.com.

 

Jag fortsätter nu att jobba efter de instruktioner jag får

Det tar kanske lite tid

 

Skickar in en ny fil sedan (om den inte är så lång :-)

 

Tack för hjälpen

/Annette

 

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...