dropper.exe ? röd prick med vitt kryss i nedre listen

[NoWay]

I natt fick jag ett virus angrepp på min dator, det började med att Sygate:s brandvägg larmade. Den blockerade något som kallades "dropper.exe" men trots det fick jag omgående en liten röd prick med ett vitt kryss i nedre listen samtidigt som länkar till "www.newgenlook.info/ad/ad0058/weightloss.html" mfl poppade upp, tog bort dem med "Alt F4", efter en liten stund såg jag även att det lagts upp en länk på skrivbordet "Air Tickets". Körde Ad-Aware men det gick inte att få bort skiten. Har även kört High Jack This för att försöka lokalisera källfilen/filerna men utan att lyckas. Har även försökt rensa via "regedit" men skitlänkarna skrivs in automatiskt med en gång. Bifogar även en logg ifrån High Jack This. Någon som har en lösning på hur man tar bort skiten ?

 

Vad är det igentligen för ena trakaserare som roas av att släppa iväg en massa sådan här skit ut på internet ? Vad ger det dem ? Skapar bara en massa skit för andra, död åt virusspridarna !

 

[Logfile of HijackThis v1.97.7

Scan saved at 14:52:41, on 2005-05-05

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v5.00 (5.00.2614.3500)

 

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\PROGRAM\DANTZ\RETROSPECT\RETRORUN.EXE

C:\WINDOWS\SYSTEM\ATI2EVXX.EXE

C:\PROGRAM\SYGATE\SPF\SMC.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM\RPCSS.EXE

C:\WINDOWS\TASKMON.EXE

C:\PROGRAM\TURTLE BEACH\MONTEGO\AUDIOSTATION2\VTRAY.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\PROGRAM\REAL\REALPLAYER\REALPLAY.EXE

C:\WINDOWS\SYSTEM\ATIPTAXX.EXE

C:\PROGRAM\DANTZ\RETROSPECT\COMBOBUTTON.EXE

C:\WINDOWS\MXOALDR.EXE

C:\PROGRAM\VANLIGA FILER\ADAPTEC SHARED\CREATECD\CREATECD50.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

D:\ANDVBPGR\ANTIVIRUSHIGHJACKTHIS\HIJACKTHIS.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.newgenlook.info/ad/ad0058/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.stockholmsborsen.se

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R3 - URLSearchHook: transURL Class - {C7EDAB2E-D7F9-11D8-BA48-C79B0C409D70} - C:\WINDOWS\SYSTEM32\SEARCH~1.DLL (file missing)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [ATIGART] c:\ati\gart\atigart.exe

O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe

O4 - HKLM\..\Run: [AtiQiPcl] AtiQiPcl.exe

O4 - HKLM\..\Run: [VoyetraTray] C:\PROGRAM\TURTLE BEACH\MONTEGO\AUDIOSTATION2\VTRAY.EXE /s

O4 - HKLM\..\Run: [Aktivitetsfältet] SysTray.Exe

O4 - HKLM\..\Run: [RealTray] C:\Program\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER

O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [MaxtorCombo] "C:\PROGRAM\DANTZ\RETROS~1\ComboButton.exe"

O4 - HKLM\..\Run: [MXO Auto Loader] C:\WINDOWS\MXOALDR.EXE

O4 - HKLM\..\Run: [smcService] C:\PROGRAM\SYGATE\SPF\SMC.EXE -startgui

O4 - HKLM\..\Run: [CreateCD50] C:\PROGRAM\VANLIG~1\ADAPTE~1\CREATECD\CREATE~1.EXE -r

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [schedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [Retrospect Launcher] C:\PROGRAM\DANTZ\RETROSPECT\RETRORUN.EXE

O4 - HKLM\..\RunServices: [ATIPOLAB] ati2evxx.exe

O4 - HKLM\..\RunServices: [smcService] C:\PROGRAM\SYGATE\SPF\SMC.EXE

O4 - Startup: Microsoft Office.lnk = C:\Program\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: ATI TV (HKLM)

O12 - Plugin for .wav: C:\PROGRAM\INTERN~1\PLUGINS\npqtplugin.dll

O12 - Plugin for .mid: C:\PROGRAM\INTERN~1\PLUGINS\npqtplugin.dll

O12 - Plugin for .mov: C:\PROGRAM\INTERN~1\PLUGINS\npqtplugin.dll

O12 - Plugin for .com/search?q=Warriors+DVD+VHS&btnI=Jag+har+tur&hl=sv&lr=lang_sv: C:\PROGRAM\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\nppdf32.dll

O12 - Plugin for .bat: C:\PROGRAM\INTERN~1\PLUGINS\npqtplugin2.dll

O12 - Plugin for .swf: C:\PROGRAM\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\npswf32.dll

O14 - IERESET.INF: SEARCH_PAGE_URL=

O14 - IERESET.INF: START_PAGE_URL=

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - https://www.skandiabanken.se/CertControl/5.131.3659.0/xenrlinf.cab]

 

 

 

 

 

[Stefan Eklinder]

 

Här är annars lite info om hur du får bort dropper.exe:

http://www.sophos.com/virusinfo/analyses/w32spybotcy.html

 

---

C:\Eforum\Stefan Eklinder>|

 

"Det finns två företeelser som är oändliga, universum och den mänskliga dumheten. Jag är dock inte säker på den förstnämnda."

 

- Albert Einstein

 

-->Passerade 10.000 inlägg den 1 maj 2005 kl: 16.48<--

 

[NoWay]

Nu tycks jag ha fått bort skiten med hjälp av programmet "KillBox" med hjälp av det tog jag bort filen "param32.dll" som låg under C:\Windows\system32 vilket verkar ha varit "käll-filen" till all skit som spridits på min dator. Övrig utspridd skit tog jag därefter bort via regedit manuellt samt körde därefter en scan med Ad-Aware och hoppas slippa få in skiten igen !